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本 书 阐述 什么 是 人 类 可 控制 管理 的 安全 软件 开发 过 程 ， 书 中 给 出 一 种 基于 经 验 的 方法 ， 来 构建 最 好 
用 的 安全 软件 开发 模型 ， 以 应 对 安全 问题 。 本 书 分 为 三 部 分 ， 共 10 章 。 第 1 章 简要 介绍 软件 安全 领域 
的 主题 及 其 重要 性 ; 第 2 章 讲 解 软件 安全 的 难点 以 及 SDL 框架 ; 第 3 ~ 8 章 揭示 如 何 将 SDL 及 其 最 佳 
实践 映射 到 一 个 通用 的 SDLC 框架 ; 第 9 章 从 资深 软件 安全 架构 师 的 角度 给 出 关于 成 功 方案 的 看 法 ， 并 
且 解 读 在 开发 安全 软件 时 针对 典型 挑战 的 一 些 真实 方法 ; 第 10 章 结合 现实 世界 中 的 安全 威胁 ， 描 述 如 
何 用 合理 的 架构 设计 、 实 现 与 管理 的 SDL 程序 来 提高 安全 性 。 
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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规范 ， 使 西方 国家 在 自然 科学 的 
各 个 领域 取得 了 垄断 性 的 优势 ， 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 辈出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 
学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 璧 
划 了 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ,我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 
益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ; 而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国家 在 其 计算 机 科学 
发 展 的 几 十 年 间 积淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计 
算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 
的 世界 一 流 大 学 的 必由之路 。 

机 械 工 业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 ” 。 自 1998 年 开始 ， 我 们 
就 将 工作 重点 放 在 了 遂 选 、 移 译 国外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson， 
McGraw-Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 良 
好 的 合作 关系 ， 从 他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, 
Brian W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. 
Ullman, Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, Larry L. 
Peterson 等 大 师 名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 究 
及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 从 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 相助 ， 国 内 的 专家 不 仅 提供 了 中 
肯 的 选 题 指导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 
中 国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄 今 ,“ 计 算 机 科学 丛书 ”已 经 出 版 了 近 两 百 
个 品种 ， 这 些 书 籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 。 
其 影印 版 “经 典 原 版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 素 使 我 们 的 
图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 和 建设 的 不 断 完 善 和 教材 改革 的 逐渐 深 
化 ， 教育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 
而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公 司 欢 迎 老 师 和 读者 对 我 们 的 工 
作 提 出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


华章 网 站 : www.hzbook.com 
电子 邮件 : hzjsj@hzbook.com 
联系 电话 : (010) 88379604 = 
联系 地 址 ， 北 京 市 西城 区 百 万 庄 南 街 1] 号 华章 教育 
邮政 编码 : 100037 华章 科技 图 书 出 版 中 心 
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一 直 以 来 ,无论 是 系统 软件 还 是 应 用 软件 ， 人 们 在 其 开发 过 程 中 都 很 少 关注 安全 问题 。 
总 是 在 软件 上 线 后 ， 发 现 或 者 被 发 现 了 安全 问题 才 意 识 到 有 需要 解决 的 安全 问题 。 于 是 ， 一 
个 补丁 接 一 个 补丁 地 弥补 。 用 一 段 时 间 以 后 ， 软 件 已 经 补丁 摆 补 丁 ， 而 安全 问题 依然 层 出 不 
穷 。 如 果 开 发 人 员 不 了 解 软件 安全 的 基本 概念 和 问题 ， 不 了 解 安 全 设计 的 基本 方法 ， 不 知道 
安全 漏洞 的 类 型 有 哪些 ， 不 能 设计 出 针对 安全 性 的 测试 用 例 ， 就 写 不 出 安全 可 靠 的 代码 ， 软 
件 的 安全 就 无 从 谈 起 。 为 此 ， 本 书 作者 提出 了 软件 核心 安全 的 根本 在 于 把 安全 贯穿 于 软件 开 
发 过 程 的 始终 ， 对 于 安全 开发 生命 周期 ( Security Development Lifecycle) 的 概念 和 模型 进行 
了 详细 的 分 析 阐 述 。 

本 书 旨 在 让 软件 开发 人 员 把 安全 理念 贯穿 于 软件 开发 过 程 中 ， 对 软件 的 安全 需求 进行 认 
真 分 析 ， 把 安全 融和 软件 的 概要 设计 和 详细 设计 中 ， 从 而 写 出 具有 安全 防护 功能 的 代码 ， 设 
计 包 含 针 对 常见 安全 漏洞 的 测试 用 例 ， 构 建安 全 的 运行 环境 。 最 终 ， 从 源头 上 关注 软件 安全 ， 
提高 软件 自身 的 安全 性 ,减少 安全 漏洞 带 来 的 损失 ， 降 低 软 件 安全 开发 的 成 本 。 

由 于 时 间 仓促 ， 本 书 的 译文 难免 有 错误 和 不 足 之 处 ， 奶 请 广大 读者 批评 指正 。 


THA 
2016 年 7 月 9 日 于 北京 
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全 球 网 络 安 全 威胁 正在 持续 地 (即便 不 是 每 天 ) 增加 。 一 个 一 直 困扰 着 我 们 的 问题 是 如 何 
应 对 当前 的 全 球 网 络 安全 威胁 。 作 者 通过 本 书 回 答 了 这 个 问题 ， 即 要 开发 安全 漏洞 尽 可 能 少 
的 软件 。 换言之， 我 们 应 该 着 眼 于 源头 安全 ， 而 不 是 仅仅 采取 如 试图 保护 网 络 基础 设施 等 阴 
挡 人 侵 的 方法 来 解决 安全 问题 。 边 界 安全 和 深度 防御 在 安全 领域 中 占有 一 席 之 地 ， 但 软件 自 
身 的 安全 是 安全 防护 的 第 一 关 ， 应 该 是 第 一 位 的 。 即 使 在 软件 源头 中 存在 较 少 的 漏洞 ， 这 些 
漏洞 也 足以 被 利用 ， 成 为 侵犯 民族 和 国家 经 济 利益 的 武器 ,或 者 成 为 有 组 织 犯 罪 的 网 络 武 带 
储备 。 因 此 ， 我 们 不 仅 要 把 软件 做 得 更 好 、 更 安全 ， 同 时 ， 根 据 现实 世界 的 经 验 ， 必 须 保证 
该 解决 方案 具有 较 好 的 成 本 效益 、 操 作 相关 性 和 可 行 性 以 及 投资 的 可 行 性 。 源 头 安全 需要 软 
件 安全 ， 这 是 网 络 基础 设施 安全 的 核心 。20 年 以 来 ， 我 们 一 直 不 可 否认 的 一 个 事实 是 软件 已 
成 为 我 们 的 关键 基础 设施 和 日 常生 活 方方面面 的 重要 组 成 部 分 。 我 们 注意 到 软件 已 经 融入 我 
们 日 常生 活 使 用 的 各 种 各 样 的 物品 中 一 一 从 家 庭 智 能 电表 到 汽车 都 含有 软件 。 遗 憾 的 是 ， 软 
件 安全 并 没有 像 软 件 本 身 那 样 以 相同 的 速度 发 展 。 许 多 软件 产品 依然 在 这 样 一 种 环境 下 开发 : 
它们 在 发 布 后 解决 问题 而 不 是 保证 第 一 次 做 的 就 是 正确 的 。 这 里 ， 有 两 个 主要 的 问题 。 

1. 第 一 个 问题 是 软件 漏洞 普遍 存在 。 正 在 寻找 和 利用 软件 漏洞 的 那些 人 有 着 充足 的 漏洞 
可 挖掘 ， 因 此 ， 我 们 必须 确保 漏洞 管理 足够 好 ， 而 且 ， 还 必须 将 目光 投向 未 来 并 拉 心 自问 : 
“怎样 做 才能 让 我 们 的 工作 生活 越 来 越 依赖 的 后 续 软 件 中 不 会 存在 这 种 类 型 的 漏洞 ?” 这 个 问 
题 的 答案 显得 尤为 重要 。 因 为 对 于 企业 来 说 ， 减 少 这 些 漏洞 以 及 在 软件 开发 过 程 中 阻止 它们 
的 出 现 是 非常 有 益 的 。 使 用 SDL 构建 软件 安全 比 软件 发 布 以 后 的 系统 恢复 和 漏洞 修复 的 成 本 
更 低 。 

2. 另 一 个 问题 是 我 们 需要 开始 关注 称 为 “0-day 漏洞 ”的 整整 一 代 漏 洞 。 坚 持 可 靠 SDL 
的 最 佳 实践 ， 通 过 从 一 开始 就 不 允许 漏洞 发 生 的 方式 ， 找 到 可 能 消除 0-day 漏洞 的 方法 ， 将 
节省 企业 的 资金 投入 ,使 得 软件 及 其 用 户 更 安全 ， 关 键 基础 设施 更 具 弹 性 。 总 之 ,这些 将 对 
我 们 所 有 人 都 更 有 益 。 

作为 卓越 代码 软件 保障 论坛 (Software Assurance Forum for Excellence in Code, SAFECode) 
的 执行 董事 ， 我 现在 重点 关注 开发 人 员 的 安全 培训 。SAFECode 是 一 个 非 营利 性 的 组 织 ， 专 
门 致力 于 通过 先进 有 效 的 软件 保证 方法 ， 增 加 信息 、 通 信 技 术 产品 和 服务 的 可 信 性 。 软 件 工 
程 人 员 安 全 意识 和 教育 的 匮乏 ， 可 能 是 努力 实现 软件 安全 计划 组 织 的 显著 障碍 。 然 而 ， 给 予 
软件 开发 人 员 更 好 的 培训 ， 使 他 们 具备 编写 安全 代码 所 需 的 技能 ， 仅 仅 是 软件 安全 方程 式 的 
变量 之 一 。 软 件 项 目 受 限于 成 本 和 严格 的 时 间 表 。 在 这 种 情况 下 ， 因 为 某 处 走 捷径 而 牺牲 安 
全 是 不 可 避免 的 。 成 本 、 时 间 和 资源 通常 是 软件 开发 支持 安全 的 三 要 素 ， 如 果 你 牺牲 三 者 中 
的 任意 一 个 ， 安 全 和 质量 都 会 深 受 其 害 。 软 件 开发 环境 是 围绕 程序 员 建 立 的， 他 们 受到 各 个 
方面 的 压力 : 更 快 地 工作 ， 走 捷径 ， 以 安全 和 质量 为 代价 编写 更 多 的 代码 。 

100% 安全 的 软件 和 系统 是 不 存在 的 ， 但 开发 者 和 他 们 的 管理 者 应 始终 力求 最 大 限度 地 组 
解 风险 ， 目 的 是 使 攻击 者 以 未 经 授权 的 方式 进行 访问 变 得 更 难 : 

。 不 得 已 利用 可 追溯 的 和 明显 的 入 侵 手段 访问 ， 以 致 他 们 被 立刻 发 现 ; 
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。 花费 很 多 时 间 试 图 访问 系统 ， 以 致 最 终 被 注意 到 ; 

。 放弃 并 转向 更 容易 的 攻击 目标 。 

确保 每 一 个 接触 到 产品 开发 生命 周期 的 人 拥有 支持 组 织 的 软件 安全 过 程 所 需 的 知识 ， 是 
致力 于 软件 安全 成 功 的 任何 组 织 的 一 个 基本 挑战 。 目 标 是 消除 组 织 在 开发 传统 程序 过 程 中 面 
临 的 受 限 于 资源 约束 和 知识 隔绝 的 痛苦 。 

开发 者 往往 需要 在 巨大 的 压力 下 和 预算 内 按时 提供 更 多 的 功能 。 很 少 一 部 分 开发 者 能 够 
抽出 时 间 来 审查 他 们 的 代码 以 发 现 潜在 的 安全 漏洞 。 当 他 们 真 的 抽出 时 间 的 时 候 ， 他 们 往往 
没有 经 过 安全 编码 方面 的 培训 ， 缺 乏 自 动 化 工具 、 艇 入 式 流 程 和 程序 、 资 源 等 ， 以 防止 黑客 
使 用 数 百 个 常见 的 漏洞 利用 技术 来 触发 恶意 攻击 。 不 管 你 喜欢 与 否 ， 开 发 者 辛勤 工作 的 劳动 
果实 往往 是 恶意 黑客 攻击 的 受害 者 。 那 么 软件 厂商 能 够 做 些 什么 呢 ? 答案 的 很 大 一 部 分 是 比 
较 老 套 的 : 开发 者 需要 获得 激励 、 更 好 的 工具 和 适当 的 培训 。 

遗憾 的 是 ， 当 前 的 商业 意识 倾向 于 不 生产 安全 的 软件 产品 。 任 何 解 决 方案 都 需要 将 其 当 
作 一 个 根本 的 市 场 失败 问题 ， 而 不 是 简单 地 希望 它 不 是 真 的。 如 果 安 全 性 是 一 个 企业 追求 的 
目标 ， 那 么 它 需要 具有 商业 意义 。 最 后 ， 安 全 性 要 求实 际 上 与 任何 商业 目标 都 是 相同 的 ， 应 
该 被 视 为 同等 重要 。 雇 主 应 该 期 望 他 们 的 雇员 对 他 们 的 工作 感到 自豪 并 拥有 一 定 的 责任 感 。 
雇员 应 该 期 望 他 们 的 雇主 提供 完成 工作 所 需 的 工具 和 培训 。 有 了 这 些 期 望 的 建立 和 目标 的 达 
成 ， 也 许 软件 行业 可 以 通过 减少 软件 漏洞 ， 更 好 地 提高 产品 的 安全 性 。 

本 书 讨 论 了 一 种 过 程 方法 ， 该 方法 认为 安全 性 在 软件 开发 过 程 中 发 挥 着 至 关 重 要 的 作 
用 。 本 书面 向 企业 高 管 、 各 个 级 别 的 管理 人 员 和 技术 领导 者 ， 对 他 们 而 言 ， 本 书 所 述 的 这 种 
方法 是 很 独特 的 。 本 书 同样 面向 学 生 和 开发 者 ， 他 们 可 以 了 解 软 件 开 发 过 程 ， 树 立 安全 意 
识 ， 并 找到 资源 帮助 他 们 实现 本 书 所 介绍 的 方法 。 书 中 的 信息 给 管理 人 员 、 项 目 经 理 和 技术 
领导 者 提供 了 一 定 的 基础 ， 以 改善 他 们 创建 的 软件 、 提 高 应 用 软件 的 安全 性 和 质量 ， 并 保护 
隐私 信息 。 

软件 开发 者 知道 如 何 编写 软件 ， 以 提供 高 水 平 的 安全 性 和 和 鲁 棒 性 。 那 么 ， 为 什么 软件 开 
发 者 不 练习 这 些 技巧 呢 ? 本 书 将 分 两 部 分 来 回答 这 个 问题 。 

1. 软件 是 否 安全 取决 于 人 们 对 于 程序 的 分 析 结 果 ， 这 些 分 析 包 括 软件 如 何 使 用 、 在 什么 
条 件 下 使 用 和 在 将 要 部 署 的 环境 中 它 必须 满足 的 安全 要 求 是 什么 。SDL 还 必须 延伸 到 产品 发 
布 之 外 ， 因 为 如 果 计 划 外 的 操作 环境 中 软件 背后 的 假设 和 它们 此 前 隐 含 的 需求 不 成 立 ， 该 软 
件 可 能 不 再 是 安全 的 。 如 果 需 要 重新 设计 一 个 完整 的 产品 ，SDL 过 程 可 能 部 分 或 全 部 重新 开 
始 。 从 这 个 意义 上 说 ， 作 者 建立 了 所 需 的 准确 和 有 意义 的 安全 要 求 、 管 理 的 度量 并 为 开发 软 
件 确立 了 一 个 实例 。 本 书 还 假定 不 是 所 有 的 安全 要 求 均 优先 于 开发 过 程 ， 并 描述 它们 衍生 、 
分 析 和 验证 的 过 程 。 

2. 软件 高 管 、 领 导 者 和 管理 人 员 必 须 支持 鲁 棒 的 编码 实践 ， 以 及 一 个 业务 相关 的 SDL 所 
需 的 安全 性 增强 ， 同 时 支持 这 种 类 型 工作 所 需 的 人 员 需 求 、 调 度 、 预 算 和 资源 分 配 。 作 者 出 
色 地 为 这 些 管 理 者 描述 了 过 程 、 需 求 和 度量 管理 ， 这 样 他 们 能 够 准确 地 评估 一 个 SDL 所 需 的 
影响 和 资源 ， 使 得 他 们 在 组 织 和 环境 中 的 工作 能 够 相对 最 佳 。 鉴 于 这 是 一 个 依据 真实 生活 、 
实地 挑战 和 经 验 设 计 的 方法 ， 作 者 描述 了 如 何 思 考 问 题 ， 以 制定 有 效 的 方法 并 遵照 业务 流程 
进行 管理 。 

我 特别 喜欢 第 9 章 的 作者 Brook Schoenfield 给 本 书 补 充 的 内 容 ， 带 给 我 们 一 个 针对 企业 
和 软件 安全 架构 师 的 成 熟 结论 。 这 个 结论 借助 “第 一 线 ”的 丰富 经 验 ， 讲 解 在 “现实 世界 ” 
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中 安全 架构 如 何 适 应 SDL 过 程 。 特 别 地 ， 他 提供 了 一 个 独特 和 重要 的 办 法 来 解决 SDL 与 安 
全 架构 方面 的 需求 ， 而 且 这 个 方法 已 经 过 实地 测试 并 真正 使 用 在 敏捷 软件 开发 过 程 中 。 

我 已 经 认识 James Ransome 博士 多 年 ， 很 高 兴 他 选择 信息 安全 作为 他 第 10 本 书 的 主题 。 
除了 在 政府 和 企业 领域 担任 一 些 网 络 安全 高 级 领导 职务 外 ， 我 最 近 刚 刚 就 任 总 统 特别 助理 和 
联邦 政府 网 络 安全 协调 员 。 我 可 以 自信 地 说 ， 这 是 目前 信息 和 全 球 网 络 安全 最 关键 的 领域 。 
业务 和 流程 问题 一 直 是 并 将 继续 是 比 技术 更 重要 的 问题 。 本 书 为 目前 典型 的 培训 资源 添 夸 
加 瓦 ， 因 为 它 使 用 了 众所周知 的 SDL 并 提供 了 和 运营、 业务 和 成 本 效益 指标 。 我 相信 ，James 
Ransome 和 Anmol Misra 所 写 的 书 已 经 一 语 道破 这 一 主题 ， 将 作为 专业 人 士 的 实践 指南 和 学 
术 教 材 服 务 社会 若干 年 。 


Hon. Howard A. Schmidt 
Ridge Schmidt Cyber 合伙 人 


SAFECode 执行 董事 


Hon. Howard A. Schmidt 简介 


Hon. Howard A. Schmidt 是 战略 咨询 公司 Ridge Schmidt Cyber 的 合 估 人。 该 公司 是 一 个 
行政 服务 公司 ， 帮 助 企 业 和 政府 的 领导 者 引领 网 络 安全 不 断 增长 的 需求 。Tom Ridge 也 担任 该 
职务 ， 他 是 美国 国土 安全 部 的 首位 部 长 。Schmidt 教授 还 担任 SAFECode 的 执行 董事 。 

Schmidt 教授 通过 长 达 40 年 杰出 的 职业 生涯 ， 将 企业 人 才 、 国 防 、 情 报 、 执 法 、 隐 私 、 
学 术 界 和 国际 关系 融合 在 一 起 。 最 近 他 就 任 总 统 特别 助理 和 联邦 政府 网 络 安全 协调 员 。 在 此 
期 间 ，Schmidt 协调 各 部 门 网 络 安全 政策 的 制定 和 实施 ， 并 与 联邦 、 州 、 地 方 、 国 际 和 私营 部 
门 的 网 络 安全 合作 伙伴 通力 合作 。 

此 前 ，Schmidt 教授 担任 信息 安全 论坛 (Information Security Forum, ISF) 的 总 裁 兼 CEO. 
TE ISF 任职 之 前 ， 他 担任 eBay 公司 的 副 总 裁 、 首 席 信息 安全 官 和 首席 安全 战略 官 。 此 前 ， 他 
担任 微软 公司 的 首席 安全 官 。 他 还 担任 过 美国 国土 安全 部 US-CERT 合作 伙伴 计划 的 首席 安全 
战略 官 。Schmidt 还 拥有 超过 26 年 的 军旅 生源 。 开 始 是 在 空军 服役 ,后 来 加 入 了 美国 亚 利 桑 
那州 空军 国民 警卫 队 。 在 空军 服役 期 间 ， 他 曾 担任 许多 军事 和 民间 职务 ， 最 高 职务 为 特别 调 
查办 公 室 的 监事 会 特别 代理 ( AFOSI)。 他 在 刑事 调查 部 门 的 计算 机 罪案 组 担任 陆军 预备 役 特 
别 代理 长 达 12 年 ， 在 亚利桑那 州 钱 德 勒 警察 署 担任 警察 。 

Schmidt 教授 于 凤凰 城 大 学 获得 工商 管理 学 士 学 位 (bachelor's degree in business 
administration, BSBA) 和 组 织 管理 硕士 学 位 ( master’s degree in organizational management, 
MAOM)。 他 还 拥有 人 文学 名 誉 博士 学 位 。Schmidt 是 爱 达 荷 州立 大 学 的 讲座 教授 ， 兼 卡 内 基 
梅 隆 大 学 CyLab 实验 室 的 特聘 研究 员 和 波 耐 蒙 隐私 研究 所 (Ponemon Privacy Institute) 的 特聘 
研究 员 。 

Schmidt 还 是 一 名 业余 无 线 电 操作 员 ( W7HAS)、 私 人 飞行 员 、 户 外 运动 者 和 狂热 的 哈 
T - 戴维森 (Harley-Davidson) 骑手 。 他 夫人 Raemarie J. Schmidt 是 一 个 退休 的 取证 科学 家 和 
研究 人 员 ， 是 计算 机 取证 领域 的 讲师 。 总 之 ， 他 们 是 自豪 的 父母 和 快乐 的 祖父 母 。 
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软件 驱动 机 器 的 时 代 在 过 去 的 几 年 里 取得 了 飞跃 式 的 发 展 。 战 斗 机 飞行 员 、 股 票 交易 所 
场 内 交易 员 、 医 生 、 工 业 生产 者 和 发 电厂 运营 商 等 专业 人 员 的 工作 对 武器 系统 、 医 疗 系统 以 
及 国家 基础 设施 关键 要 素 的 运行 至 关 重要 ， 而 这 些 行业 已 经 或 正在 迅速 地 被 软件 接管 。 这 是 
革命 性 的 一 步 。 从 前 必须 要 人 类 大 脑 完成 的 复杂 的 、 非 重复 性 的 任务 ， 现 在 已 经 被 软件 驱动 
程序 控制 的 机 器 大 脑 和 神经 系统 所 取代 。 这 种 变化 体现 在 政府 、 军 队 、 罪 犯 、 活 动 家 和 其 他 
对 手 可 以 尝试 破坏 、 修 改 或 影响 国家 基础 设施 的 改变 ， 也 体现 在 社会 和 文化 方式 的 转变 。 同 
样 ， 这 种 变革 对 企业 也 是 有 一 定 影响 的 ， 比 如 ， 这 些 年 来 我 们 看 到 的 越 来 越 多 的 网 络 商业 间 
湿 案件 。 以 前 的 大 规模 军队 、 昂 贵 和 毁灭 性 的 武器 系统 与 平台 、 武 装 抢劫、 信息 窃取 、 暴 力 
抗议 活动 和 武装 叛乱 很 快 被 所 谓 网 络 战 、 网 络 犯罪 和 网 络 行为 所 替代 。 

这 些 网 络 方法 可 能 最 终 就 像 之 前 使 用 的 技术 一 样 产 生 深远 的 影响 ， 而 潜在 的 软件 漏洞 如 
果 被 利用 ， 则 可 能 会 导致 以 下 问题 。 

。 全 部 或 部 分 基础 设施 被 中 断 ， 包 括 电 网 、 核 电站 、 通 信介 质 和 应 急 系 统 。 

。 化 工厂 被 用 于 产生 大 规模 的 爆炸 和 剧 毒 云 。 

。 远 程控 制 、 修 改 或 破坏 关键 的 武器 系统 或 平台 。 

。 导 致 监控 系统 被 算 改 或 不 可 用 。 
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。 操 控 金 融 市 场 和 投资 。 

。 通 过 改变 医疗 支持 系统 或 设备 、 手 术 计 划 或 药物 处 方 来 实施 谋杀 或 伤害 人 体 健 康 。 

。 通 过 网 站 毁损 或 底层 Web 应 用 的 关闭 和 破坏 修改 自动 投票 软件 、 进 行 襄 诈 勒 索 或 导致 

品牌 信用 降级 ， 从 而 产生 政治 暴动 或 者 导致 一 些 人 群 的 特殊 利益 受到 影响 。 

网 络 方法 的 一 个 副作用 就 是 提供 给 我 们 以 之 前 想 都 不 敢 想 的 大 规模 、 远 程 和 匿名 方式 解 
决 上 述 问 题 的 能 力 。 这 一 能 力 是 在 受到 司法 保护 的 位 置 通 过 远程 探测 和 入 侵 的 方式 解决 上 述 
问题 。 同 时 ， 这 也 赋予 了 政府 、 犯 罪 集团 和 活动 家 特殊 的 能 力 ， 包 括 代 理 主要 犯罪 人 用 于 和 逃 
导 责 任 、 避 免 接受 检测 和 规避 政治 后 果 。 

里 然 有 很 多 关于 网 络 安全 的 宣传 但 真正 的 致命 弱点 是 (不 安全 的 ) 软件 。 这 些 软件 提供 
总 体 控制 或 变更 如 上 所 述 的 一 个 目标 的 潜在 能 力 。 软 件 安全 的 关键 性 在 于 ， 我 们 迅速 步 人 了 
新 的 时 代 ， 从 前 被 忽视 的 关于 人 类 思维 被 软件 驱动 机 器 所 替代 的 这 件 事 也 不 容 小 舰 。 正 是 出 
于 这 个 原因 ， 我 们 撰写 了 这 本 书 。 与 此 相反 ， 在 可 预见 的 将 来 ， 软 件 程序 将 继续 由 人 类 编写 。 
这 也 意味 着 ， 新 的 软件 将 继续 构建 在 遗留 代码 或 软件 之 上 ， 而 这 些 遗 留 代码 在 编写 时 安全 还 
不 被 重视 或 者 是 在 复杂 攻击 盛行 之 前 编写 的 。 只 要 人 类 写 程序 ， 成 功 的 关键 就 是 保障 有 关 计 
划 的 实施 ， 使 得 软件 开发 项 目的 过 程 更 加 高 效 和 有 效 。 尽 管 本 书 的 方法 包括 软件 安全 人 员 、 
软件 安全 流程 和 软件 安全 技术 方法 ， 但 是 我 们 认为 在 软件 安全 中 人 是 最 重要 的 组 成 部 分 ， 原 
因 是 软件 的 开发 、 管 理 、 使 用 都 是 由 人 来 完成 的 。 以 下 是 软件 安全 性 的 逐步 实施 过 程 ， 该 过 
程 与 当今 的 技术 、 运 营 、 业 务 和 开发 环境 相关 ， 并 且 强 调 人 可 以 做 什么 去 控制 和 管理 流程 的 
最 佳 实践 与 度量 方式 。 我 们 将 永远 面临 安全 问题 ， 但 是 本 书 有 助 于 在 软件 最 终 发 布 或 部 署 时 





尽量 减少 安全 问题 。 希 望 你 能 喜欢 我 们 的 书 ， 就 像 我 们 喜欢 写 它 一 样 。 


本 书 讲述 关乎 当今 科技 、 运 作 、 商 业 及 开发 环境 的 软件 安全 过 程 。 作 者 着 重 讲述 什么 是 
人 类 可 控制 、 管 理 的 安全 软件 开发 过 程 ， 并 用 一 种 较 好 的 实践 方式 和 度量 方式 来 表达 。 虽 然 
安全 问题 将 会 始终 存在 ， 但 是 本 书 将 教 你 如 何 将 公司 的 能 力 最 大 化 ， 同 时 在 软件 发 布 前 将 软 
件 被 攻击 的 概率 最 小 化 ， 以 及 如 何 将 安全 构建 融入 开发 过 程 之 中 。 作 者 拥有 世界 五 百 强 公司 
的 工作 经 历 ， 目 睹 过 一 定数 量 的 软件 安全 开发 生命 周期 ( SDL) 故障 。 本 书 采 用 一 种 基于 经 
验 的 方法 ， 来 构建 最 好 用 的 SDL 模型 ， 以 应 对 前 面 提 到 的 问题 ， 并 在 SDL 安全 软件 开发 模 
型 中 得 到 解决 。 本 书 开篇 概要 介绍 SDL， 然 后 讲解 将 SDL 实践 方法 映射 到 SDL 模型 ， 同 时 
解释 如 何 运 用 此 模型 来 建立 并 管理 成 熟 的 SDL 程序 。 虽 然 安 全 并 不 是 近 些 年 业界 编写 软件 过 
程 中 的 天 然 组 成 部 分 ， 但 是 ， 作 者 相信 ， 将 安全 开发 加 入 到 软件 开发 中 将 是 可 能 的 、 可 行 的 ， 
也 是 切实 必要 的 。 作 者 同时 认为 ， 本 书 中 提 到 的 软件 安全 实例 以 及 模型 将 给 所 有 读者 留 下 清 
晰 的 印象 ， 无 论 是 经 理 还 是 主管 或 是 从 业 人 员 都 将 在 其 中 获 益 。 


读者 对 象 

本 书面 向 任何 对 企业 级 软件 安全 感 兴趣 的 人 ， 包 括 产品 安全 和 质量 主管 、 软 件 安全 架构 
师 、 安 全 顾问 、 软 件 开发 工程 师 、 企 业 SDLC 项 目 经 理 、 首 席 信息 安全 官 、 首 席 技 术 官 和 首 
席 隐 私 官 。 如 果 你 想 了 解 在 企业 级 软件 开发 过 程 中 是 如 何 实现 软件 安全 的 ， 本 书 将 是 一 本 不 
可 错过 的 好 书 。 


本 书 结构 


本 书 分 为 三 部 分 ， 共 10 章 。 第 1 章 简要 介绍 软件 安全 领域 的 主题 及 其 重要 性 。 第 2 章 讲 
述 软 件 安全 的 难点 以 及 SDL 框架 。 第 3 ~ 8 章 讲述 如 何 将 SDL 及 其 最 佳 实践 映射 到 一 个 通 
用 的 SDLC 框架 。 根 据 第 3 ~ 8 章 描述 的 解决 方案 ， 第 9 章 叙述 一 个 老练 的 软件 安全 架构 师 
关于 成 功 方案 的 看 法 ， 并 解读 在 开发 安全 软件 时 针对 典型 挑战 的 一 些 真实 方法 。 第 10 章 结 合 
现实 世界 中 的 安全 威胁 ， 描 述 我 们 如 何 用 合理 的 架构 设计 、 实 现 与 管理 的 SDL 程序 来 提高 安 
全 性 。 


假设 

本 书 假设 读者 了 解 基 本 的 软件 开发 过 程 (方法 论 ) 以 及 基本 的 安全 概念 。 建 议 对 SDL, 
不 同 种 类 的 安全 测试 ， 以 及 安全 架构 有 所 了 解 ， 但 是 不 作 要 求 。 对 于 大 部 分 主题 ， 在 深入 探 
讨 具体 问题 前 ， 我 们 会 循序 渐进 地 介绍 相关 知识 。 
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欢迎 阅读 此 书 ， 本 书 旨 在 关注 未 来 信息 安全 领域 最 重要 的 话题 : 软件 安全 ( software 
security)。 下 面 几 节 将 涵盖 五 大 主题 ， 突 出 说 明 软 件 安全 的 需求 、 价 值 和 挑战 。 这 将 为 本 书 的 
剩余 部 分 定 下 基调 。 我 们 将 描述 一 个 软件 安全 模型 : 应 用 一 个 操作 上 相关 且 可 控 的 安全 开发 
生命 周期 (Security Development Lifecycle, SDL) 来 构建 安全 软件 。SDL 适用 于 所 有 的 软件 
开发 生命 周期 ( Software Development Lifecycle，SDLS)。 五 大 主题 以 及 在 第 1 章 引 入 它们 的 
原因 如 下 。 

1. 软件 安全 的 重要 性 和 相关 性 。 软 件 是 我 们 在 现实 世界 中 做 任何 事情 的 关键 ， 同 时 ， 
软件 也 分 布 在 最 关键 的 系统 中 。 基 于 此 ， 软 件 的 安全 设计 是 至 关 重 要 的 。 大 多 数 信息 技术 
(Information Technology, IT) 相关 的 安全 解决 方案 已 经 能 够 有 效 地 降低 不 安全 软件 带 来 的 风 
险 。 为 了 证 明 一 个 软件 安全 程序 的 合理 性 ， 必 须知 晓 没 有 构建 安全 软件 带 来 的 金钱 成 本 和 其 
他 风险 的 重要 性 与 相关 性 ， 以 及 构建 安全 软件 的 重要 性 、 相 关 性 和 成 本 。 总 而 言 之 ， 软 件 安 
全 同样 是 一 个 商业 决定 ， 因 为 它 关 注 避免 安全 风险 。 

2. 软件 安全 和 软件 开发 生命 周期 。 在 这 里 ， 重 要 的 一 点 是 要 区 分 在 软件 开发 中 我 们 熟知 
的 软件 安全 (software security) 和 应 用 程序 安全 (application security)。 尽 管 这 两 个 术语 经 常 
互 用 ， 但 是 我 们 仍然 需要 区 分 它们 。 因 为 实现 这 两 个 目的 的 程序 在 管理 过 程 中 存在 明显 的 不 
同 。 在 模型 中 ， 软 件 安 全 表示 在 SDLC 中 ,应 用 SDL 构建 安全 的 软件 ， 而 应 用 程序 安全 表示 
发 布 后 运行 过 程 中 软件 和 系统 的 保护 。 

3. 高 质量 和 安全 代码 。 尽 管 安 全 代码 未 必 是 高 质量 代码 ， 同 时 高 质量 代码 也 未 必 是 安全 
代码 ， 但 是 软件 的 开发 过 程 是 基于 高 质量 和 安全 代码 原则 的 。 你 不 能 拥有 不 安全 的 高 质量 代 
码 ， 更 不 能 拥有 劣质 的 安全 代码 ， 它 们 相辅相成 。 至 少 ， 质 量 和 软件 安全 程序 应 该 在 开发 过 
程 中 紧密 结合 ; 理想 情况 下 ， 它 们 应 该 是 同一 组 织 的 组 成 部 分 ， 以 及 软件 开发 工程 部 门 的 一 
部 分 。 这 将 在 本 书 中 后 面 的 章节 中 从 组 织 和 操作 角度 进一步 讨论 。 

4. 三 个 最 重要 的 SDL 安全 目标 。 所 有 软件 安全 分 析 和 构建 的 核心 是 三 个 最 重要 的 安全 因 
素 : 保密 性 (Confidentiality)、 完 整 性 (Integrity) 和 可 用 性 (Availability)， 也 称 为 C.IL.A. 模型 。 
为 了 确保 软件 开发 是 安全 的 ， 上 述 三 个 特性 必须 一 直 作 为 整个 SDL 过 程 中 的 主要 组 成 部 分 。 

5. 威胁 建 模 和 攻击 界面 验证 。 威 胁 建 模 和 攻击 界面 验证 是 SDL 中 最 耗 时 和 难以 理解 的 部 
分 。 在 当今 的 敏捷 软件 开发 中 ， 必 须 正 确 处 理 这 个 问题 ， 否 则 无 法 保证 软件 安全 。SDL 中 的 
威胁 建 模 和 攻击 界面 验证 ， 将 最 大 限度 地 避免 软件 产品 发 布 后 发 现 安全 漏洞 。 我 们 认为 这 个 
功能 非常 重要 ， 因 此 本 书 将 专门 用 一 节 和 一 章 来 关注 这 个 主题 。 


1.1 软件 安全 的 重要 性 和 相关 性 


2005 年 美国 总 统 信息 技术 顾问 委员 会 ( PITAC) 报告 指出 :“ 通 用 的 软件 工程 实践 蕴含 有 
和 危险 的 错误 ， 比 如 处 理 不 当 的 缓冲 区 溢出 ， 这 导致 每 年 存在 成 百 上 千 的 攻击 程序 危害 成 千 上 
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万 的 计算 机 。” 发 生 这 种 情况 的 主要 原因 是 “当今 商业 软件 工程 缺乏 在 合理 成 本 内 构建 高 质 
量 、 安 全 产品 的 科学 基础 和 严格 管理 。” 中 

高 德 纳 咨询 公司 ( Gartner Group) 报道 超过 70% 的 通用 商业 安全 漏洞 出 现在 软件 应 用 中 ， 
而 不 是 网 络 边 界 内 中。 因此 关注 应 用 安全 ， 呈 在 降低 糟糕 的 软件 开发 、 集 成 和 部 署 带 来 的 风 
险 。 结 果 是 ， 软 件 保障 迅速 成 为 金融 、 政 府 、 制 造 业 等 部 门 信 息 保 障 (Information Assurance, 
TA) 关注 的 领域 ， 并 且 用 于 降低 不 安全 代码 带 来 的 风险 : 将 安全 构建 到 软件 开发 生命 周期 中 
是 一 种 良好 的 商业 意识 。 

美国 国土 安全 部 2006 年 草案 “软件 生命 周期 中 的 安全 ”描述 如 下 : 


安全 的 软件 和 不 安全 的 软件 最 关键 的 区 别 在 于 描述 、 设 计 和 开发 软件 等 过 程 与 
实践 中 的 性 质 ……: 主要 采用 安全 增强 的 过 程 和 实践 ， 尽 可 能 早 地 修复 软件 开发 生命 
周期 中 潜在 的 安全 漏洞 ， 比 当前 普遍 采用 的 频繁 开发 和 发 布 运 行 中 软件 补丁 的 方法 
更 加 经 济 实用 。 站 


在 2011 年 美国 RSA 会 议 上 ， 大 家 着 重 强调 了 云 安 全 问题 ,但 几乎 没有 讨论 如 何 解 决 该 
问题 ; 然而 ,在 2012 年 RSA 会 议 上 ， 几 乎 全 是 关于 解决 一 年 前 确定 的 云 安全 问题 的 研究 
相同 的 事情 也 发 生 在 2012 年 ， 开 始 于 一 些 重 要 的 学 术 会 议 ， 随 后 在 2013 年 关于 软件 安全 
解决 方案 的 讨论 继续 成 为 一 个 主要 关注 点 。 例 如 ， 在 2012 年 年 初 ,《 信 息 周刊 》( Information 
Week) 提出 “外 部 代码 审查 ”是 2012 年 十 大 安全 趋势 之 一 中， 并 且 指 出 “业务 职责 是 明确 的 : 
开发 者 必须 花 时 间 清 楚 地 编写 代码 ， 并 在 代码 投入 生产 之 前 根除 任何 可 能 的 安全 缺陷 。” 同 
E 2012 年 3 月 1 日 也 有 一 篇 发 表 的 热门 安全 文章 ,题目 为 “ To Get Help with Secure Software 
Development Issues, Find Your Own Flaws”， 它 成 为 2012 年 旧金山 举办 的 RSA 专题 讨论 会 上 
最 精彩 的 部 分 。 这 次 专题 讨论 会 做 了 大 量 的 工作 以 识别 一 些 关键 问题 ， 但 并 没有 解决 识别 
出 的 软件 安全 挑战 。 然 而 ， 事 情 开 始 在 2012 年 年 中 有 所 改变 : 2012 年 5 月 召开 的 微软 就 职 
安全 发 展会 议 议程 ,不 是 关于 微软 的 ， 更 多 的 是 带 来 安全 软件 开发 思想 的 领导 力 标 准 ， 并 
分 为 三 个 独立 的 模块 ， 包 括 “ 安 全 工程 “安全 开发 生命 周期 (SDL) & 商业 ”和 “过 程 管 理 ” 
来 讨论 工业 和 安全 软件 开发 中 最 重要 的 安全 问题 的 解决 方案 。 这 种 趋势 在 2012 年 美国 黑 帆 会 
W, 2013 年 RSA Bit"! 和 2013 年 微软 安全 开发 会 议 "" 上 得 到 延续 。 

想 想 看 : 是 什么 真正 引发 了 当今 世界 大 多 数 的 信息 安全 问题 ?黑客 和 网 络 犯罪 分 子 的 主 
要 目标 又 是 什么 ? 那 就 是 不 安全 的 代码 。 是 什么 已 经 迅速 成 为 软件 开发 中 投入 最 高 的 不 必要 
的 成 本 ? 那 就 是 已 投入 市 场 的 软件 产品 中 不 安全 代码 带 来 的 缺陷 。 当 这 些 缺 陷 被 发 现 和 (或 
者 ) 被 利用 后 ， 它 们 会 导致 当今 产品 开发 周期 中 断 以 修复 一 些 本 应 该 在 包含 缺陷 的 产品 开发 
过 程 中 修复 的 错误 ; 它们 会 导致 产品 发 布 日 期 推迟 ， 因 为 参与 当前 项 目的 个 人 或 者 团队 脱离 
该 周期 去 修复 以 前 发 布 产品 的 问题 ; 同时 它们 会 导致 脆弱 性 范围 渐变 ， 因 为 在 某 一 产品 中 发 
现 的 脆弱 性 可 能 影响 网 络 、 软 件 即 服 务 ( Software as a Service, SaaS) 和 云 应 用 中 其 他 产品 的 
安全 性 。 它 们 也 会 产生 法 律 问题 ， 如 声誉 下 降 和 诸如 在 过 去 的 几 年 里 索尼 ( Sony)、 赛 门 铁 克 
(Symantec) 和 RSA 经 历 的 公共 关系 的 璐 梦 。 它 们 同样 能 够 导致 公司 重大 的 责任 。 在 有 广泛 的 
法 规 监 管用 户 隐私 和 数据 泄露 的 时 代 ， 企 业 应 该 承担 的 责任 将 迅速 增加 ， 即 使 对 于 大 公司 也 
一 样 。 需 要 指出 的 是 ， 即 便 是 在 高 科技 领域 ， 消 费 者 、 客 户 、 监 管 部 门 和 媒体 都 已 经 开始 意 
识 到 不 仅 要 迫切 解决 软件 安全 问题 ， 实 际 上 更 需要 以 一 种 结构 化 的 安全 软件 开发 生命 周期 或 
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者 框架 的 方式 解决 这 些 问 题 。 这 样 所 有 的 注意 力 都 将 集中 在 那些 开发 软件 代码 的 开发 者 身上 ， 
尤其 是 开发 关键 和 敏感 应 用 代码 的 程序 员 。 检 查 这 些 程序 员 在 他 们 自己 的 环境 中 是 否 坚 持 这 
样 的 实践 ， 无 论 是 采用 传统 / 瀑布、Scrum/ 敏捷 还 是 一 种 混合 的 开发 方法 。 

全 球 经 济 的 每 一 个 部 门 ， 从 能 源 到 和 运输、 财政、 银行、 电信、 公共 健康 、 应 急 服 务 、 水 、 
化 学 制品 、 防 御 、 工 业 、 事 物 、 农 业 ， 以 及 邮政 和 运输 部 门 ， 都 依赖 于 计算 机 软件 。 实 际 上 ， 
软件 的 任何 威胁 都 会 对 我 们 的 生活 构成 威胁 。 因 为 全 部 潜在 的 危害 都 发 生 在 利用 编码 缺陷 的 
时 候 ， 因 此 产品 不 仅仅 要 保证 正常 的 运行 (质量 )， 还 必须 是 安全 的 (安全 )。 因 此 ， 我 们 坚信 
本 节 的 主题 与 内 容 能 够 解决 未 来 几 年 信息 和 网 络 安 全 将 要 面 对 的 大 多 数 严 峻 挑战 。 

许多 人 认为 ， 当 产品 已 开发 并 投入 使 用 后 ， 你 依然 可 以 修复 软件 漏洞 。 但 这 不 是 那么 容 
易 ， 因 为 修复 漏洞 的 成 本 增加 超过 SDLC， 如 图 1-1 所 示 ， 大 多 数 与 安全 相关 的 工作 是 在 发 布 
以 后 (post-release) 完成 的 ， 包 括 代码 审核 、 补 救 、bug 修复 、 打 补丁 ， 也 包括 黑客 防范 措施 。 
在 云 环境 中 ， 可 能 有 多 个 版 本 的 应 用 程序 在 运行 ， 解 决 跨越 所 有 应 用 程序 的 安全 漏洞 往往 是 
一 个 挑战 。 云 环境 中 某 一 版 本 应 用 程序 的 暴露 可 导致 所 有 应 用 程序 的 漏洞 被 利用 ， 除 非 制定 
了 严格 的 网 络 隔离 控制 。 就 连 这 种 隔离 控制 也 都 可 能 被 证 明 在 复杂 的 攻击 事件 面前 是 脆弱 的 。 
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图 1-1 解决 映射 到 SDLC 阶段 软件 问题 的 成 本 


随 着 项 目的 生命 周期 逐渐 成 熟 ， 解 决 软件 问题 相关 的 成 本 也 在 增加 ( 见 图 1-1 )。1988 年 ， 
Barry Boehm 表示 ， 在 现场 发 现 缺 陷 将 花费 50 ~ 200 倍 于 较 早 纠正 该 缺陷 所 花费 的 费用 趾 。 若 
干 年 以 后 ，Barry Boehm 表示 ， 对 于 小 型 非 关键 系统 来 说 这 个 比例 是 5 : 1. "712008 年 Fortify 
展示 的 数据 表明 ， 在 需求 分 析 层 面 校 正安 全 缺陷 的 成 本 比 现 场 修 复 这 些 软件 安全 缺陷 的 成 本 
低 100 倍 。 ”我 们 都 十 分 明确 的 一 点 是 ， 无 论 使 用 什么 数据 ， 通 过 上 述 示例 以 及 工业 中 使 用 
的 其 他 示例 可 知 ， 在 软件 开发 过 程 中 较 早 修复 安全 缺陷 将 比 发 布 后 再 修复 安全 缺陷 大 大 节约 
成 本 。 对 于 供应 商 而 言 ， 对 于 具有 安全 漏洞 的 软件 ， 在 其 发 布 以 后 开发 补丁 和 修补 漏洞 的 代 
价 被 放大 ， 而 且 确 保 应 用 更 安全 也 是 高 成 本 的 方法 。 此 外 ， 补 丁 并 不 总 是 由 脆弱 性 软件 的 拥 
有 者 /用 户 来 提供 ， 补 丁 本 身 也 可 能 包含 更 多 的 漏洞 。'" 我 们 已 经 看 到 ， 补 丁 修复 了 一 个 安 
全 问题 ,但 引发 (或 重复 引发 ) 了 其 他 安全 问题 。 企 业 并 不 总 是 能 够 给 每 一 个 补丁 (修复 ) 应 
有 的 重视 ， 或 者 它 可 以 不 经 过 常规 的 软件 开发 生命 周期 ， 这 会 导致 比 打 补 丁 或 者 进行 全 问题 
修复 之 前 更 多 安全 问题 的 出 现 。 

近 些 年 来 ， 信 息 安全 行业 都 在 假定 软件 是 安全 的 并 且 需 要 的 一 切 安 全 控制 也 必 备 的 情况 
下 ， 集 中 研发 网 络 和 应 用 安全 方面 的 技术 与 产品 ， 而 不 是 切实 针对 软件 安全 故障 保护 组 织 所 
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反对 的 软件 故障 开展 工作 。 当 我 们 回顾 本 书 中 的 安全 开发 生命 周期 及 相关 的 最 佳 实践 时 ， 应 
该 明确 的 是 ， 在 一 个 全 面 和 层次 化 的 纵深 防御 安全 方案 中 ， 网 络 和 应 用 程序 应 该 来 得 晚 一 点 ， 
软件 自身 的 安全 应 该 考虑 作为 信息 安全 生命 周期 的 第 一 步 ， 而 不 是 最 后 一 步 。 简 而 言 之 ， 网 
络 和 应 用 程序 安全 方案 更 多 的 是 关于 补偿 控制 ， 但 它 只 能 通过 在 源头 解决 安全 ， 而 且 ， 在 源 
头 我 们 才能 够 真正 地 解决 问题 。 


1.2 软件 安全 和 软件 开发 生命 周期 


多 年 来 ， 安 全 业界 对 于 软件 安全 和 应 用 安全 存在 着 一 个 严重 的 误解 。Gary McGraw 提供 
了 关于 两 者 之 间 差异 的 一 个 清晰 描述 : 


一 方面 ， 软 件 安全 是 关于 构建 安全 软件 的 : 将 软件 设计 成 安全 的 ; 确保 软件 是 
安全 的 ; 培训 软件 开发 人 员 、 架 构 师 和 用 户 如 何 构建 安全 到 软件 中 。 另 一 方面 ， 应 
用 程序 安全 是 关于 保护 软件 和 该 软件 发 布 后 运行 的 系统 ， 当 且 仅 当 开发 完成 后 。 吕 1 


从 第 一 个 大 规模 针对 软件 的 攻击 开始 ， 到 20 世纪 80 年 代 后 期 ， 软 件 安全 已 经 走 过 了 漫 
长 的 道路 。 当 时 软件 并 没有 过 多 地 考虑 安全 问题 (如 UNIX 代码 、TCP/IP 协议 栈 )。 随 着 微软 
Windows 以 及 网 页 (Web) 的 出 现 ， 攻 击 开始 变 得 复杂 和 频繁 ， 因 此 软件 的 安全 性 才 逐 渐 得 到 
重视 。 工 业界 开始 通过 各 种 辅助 手段 短期 修复 安全 问题 。 这 些 因素 推动 了 杀毒 软件 、 防 火 墙 、 
反 间 谍 软 件 的 出 现 。 然 而 ， 真正 的 问题 一 一 代码 是 如 何 开 发 和 编写 的 并 没有 得 到 重视 。 
这 个 问题 直到 最 近 十 年 来 出 现 了 SDL 实践 才 得 到 重视 。 许 多 企业 (如 微软 ) 由 于 软件 安全 缺 
陷 的 影响 开始 意识 到 通过 改善 软件 开发 实践 ， 以 确保 安全 的 软件 代码 的 重要 性 。 这 导致 学 术 
界 和 软件 巨头 都 推荐 SDL 实践 ， 如 微软 等 。 现 在 我 们 有 理论 和 指导 原则 来 帮助 我 们 从 软件 开 
发 一 开始 就 构建 安全 的 代码 ， 从 而 降低 出 现 可 能 被 攻击 者 利用 的 软件 漏洞 的 可 能 性 。 

机 密 性 、 完 整 性 和 可 用 性 是 业界 认为 在 任何 软件 安全 开发 过 程 中 最 重要 的 三 个 主要 目标 。 
开发 人 员 保护 、 增 强 、 确 保 这 些 主 要 目标 满足 安全 代码 定义 的 “高 可 信和 度 ” 部 分 。 开 发 人 员 
能 够 编写 非常 高 效 的 代码 ， 这 些 代 码 易于 维护 并 可 复 用 。 然 而 ， 如 果 该 代码 允许 未 经 授权 的 
用 户 访问 应 用 程序 的 资源 ， 那 么 无 论 该 代码 是 否 被 披露 ， 都 没有 第 二 次 机 会 来 修复 它 。 

SDL 不 应 该 与 标准 软件 开发 生命 周期 混淆 。 顾 名 思 义 ，SDL 方法 的 真正 目的 是 开发 安全 
的 软件 ， 不 一 定 是 高 质量 的 软件 。 正 如 IT 维基 百科 定义 的 ,“ 安 全 开发 生命 周期 是 一 个 软件 
开发 过 程 ， 用 来 降低 软件 维护 成 本 ， 提 高 软件 的 可 靠 性 (涉及 与 bug HRM RFE)”, 
2002 年 1 月 ， 微 软 的 许多 软件 开发 团队 使 用 “KEHE (security push) 来 改进 现 有 的 安全 代码 。 
在 这 个 方法 的 指导 下 ， 可 信赖 计算 (Trustworthy Computing, TWC) 团队 形成 了 微软 安全 开发 
生命 周期 ( Microsoft Security Development Lifecycle)。2004 年 ， 微 软 SDL 作为 强制 策略 成 为 
微软 软件 开发 过 程 中 的 一 个 组 成 部 分 。"" 后 来 SDL 这 一 术语 也 被 其 他 软件 公司 使 用 ， 随 着 时 
间 推 移 ，SDL 既 代 表 微 软 开发 过 程 的 一 个 组 成 部 分 ， 也 代表 前 面 提 到 的 IT 维基 百科 定义 的 开 
发 过 程 。 在 本 书 中 使 用 的 术语 SDL 表示 一 个 安全 的 开发 过 程 ， 由 以 下 几 个 方面 组 成 : 基于 比 
较 研 究 微软 SDL 的 软件 安全 最 佳 实践 ， 从 2004 年 开始 开发 的 替代 模型 ， 作 者 的 经 验 以 及 对 
最 前 治 开发 组 织 的 研究 有 效 和 无 效 的 工作 ， 商 业 上 对 软件 开发 的 苛刻 需求 再 加 上 不 断 增 长 的 
需求 ， 以 在 源头 通过 相关 的 、 划 算 的 和 现实 的 软件 安全 实践 确保 代码 安全 。 

SDL 的 目标 是 双重 的 : 第 一 个 目标 是 减少 安全 漏洞 和 隐私 问题 的 数量 ; 第 二 个 目标 是 减 
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轻 遗 留 漏洞 的 严重 性 。 有 行业 标准 定义 在 软件 开发 中 需要 做 些 什么 ， 比 如 ISO/TEEE 定义 了 面 
向 软件 工程 的 传统 软件 开发 方法 的 主要 阶段 。SDL 的 元 素 通常 适应 性 很 强 ， 很 容易 纳入 组 织 
的 标准 开发 生命 周期 中 。 

静态 分 析 和 威胁 建 模 是 用 于 开发 安全 代码 的 工具 。 静 态 分 析 工 具 使 用 类 似 于 病毒 检查 程 
序 的 方式 ， 寻 找 代码 中 一 组 固定 的 模式 或 者 规则 。 由 于 这 类 工具 是 基于 定义 好 的 规则 工作 的 ， 
它 永远 无 法 找到 规则 以 外 的 问题 ， 因 此 高 级 的 静态 分 析 工 具 人 允许 将 新 的 规则 加 入 到 规则 库 中 。 
静态 分 析 工 具 最 大 的 好 处 是 有 能 力 自动 识别 许多 常见 的 编码 问题 。 但 是 ， 开 发 者 错误 带 来 的 
bug 往往 只 是 问题 的 一 部 分 。 静 态 分 析 工 具 无 法 评估 设计 和 架构 的 缺陷 。 它 们 不 能 识别 设计 
不 当 的 加 密 库 或 者 选择 不 当 的 算法 ， 也 不 能 指出 可 能 会 导致 身份 验证 和 授权 混乱 的 设计 问题 。 
它们 也 不 能 识别 内 秀 在 代码 中 密码 或 幻 数 。 但 是 ， 静 态 分析 工 具 可 以 比 动态 分 析 才 探 到 程序 
更 多 的 阴暗 角落 ， 因 为 后 者 需要 实际 地 运行 代码 。 静 态 分 析 同 样 具备 在 软件 达到 完成 程度 前 ， 
就 执行 有 效 测试 的 潜质 。 在 软件 开发 生命 周期 中 ， 越 早 发 现 并 管理 安全 风险 越 好 。 

虽然 这 些 SDL 实践 在 理论 上 已 经 很 好 了 ,但 是 当 应 用 到 企业 中 时 ,结果 有 好 有 坏 。 导 致 
这 一 现状 有 多 种 原因 。 用 SDL 实践 管理 软件 开发 生命 周期 的 历史 并 不 长 ， 因 此 未 使 用 这 一 方 
法 编写 的 (可 能 存在 风险 的 ) 代码 在 软件 行业 的 代码 库 中 依旧 占有 很 大 比重 ,， 想 要 回溯 并 以 
SDL 实践 方法 将 这 些 代 码 再 开发 一 遍 是 很 困难 的 。 软 件 外 包 和 海外 代 工 是 另 一 个 导致 SDL 很 
难 有 效 落实 的 原因 。 软 件 开发 人 员 往 往 在 时 间 非 常 紧迫 的 情况 下 进行 开发 ， 导 致 软件 的 安全 
性 被 抛 到 脑 后 。 在 缺乏 有 效 管理 SDL 实践 的 快速 开发 环境 下 ， 往 往 最 后 才 考虑 安全 问题 。 

尽管 一 些 安全 实践 对 于 软件 和 应 用 程序 安全 来 说 是 通用 的 ， 比 如 渗透 测试 、 源 代码 扫描 
以 及 安全 教育 ， 但 有 一 个 东西 是 任何 方法 都 无 法 蔡 代 的 ， 这 就 是 人 。 这 个 过 程 中 ， 人 的 因素 
是 最 关键 的 ， 成 功 的 软件 开发 过 程 需要 经 验 丰 富 的 软件 安全 架构 师 和 工程 师 。 威 胁 建 模 需要 
应 用 最 小 授权 策略 和 纵深 防御 策略 ， 是 软件 开发 生命 周期 中 最 为 重要 且 任 何 工 具 都 无 法 替代 
人 工 来 完成 的 工作 。 必 须 收 集 一 个 系统 的 真正 安全 需求 ， 并 考虑 合 规 性 、 安 全 性 问题 、 合 同 
要 求 、 应 用 程序 能 够 处 理 什么 样 的 数据 以 及 业务 风险 。 

培训 是 以 人 为 关键 元 素 的 SDL 活动 。 培 训 有 助 于 降低 安全 成 本 ， 一 个 好 的 培训 方案 能 够 
促使 开发 团队 减少 软件 中 出 现 的 安全 问题 ， 更 高 效 、 更 划算 地 完成 开发 任务 。 应 当 强调 的 是 ， 
软件 的 安全 问题 不 是 通过 某 一 个 方法 可 以 解决 的 ; 而 是 通过 以 人 为 核心 ， 融 合 了 管理 流程 和 
技术 手段 ， 具有 整体 性 和 纵深 性 的 系统 性 方法 解决 的 。 尽 管 工具 可 以 比 人 工 更 快 地 对 大 量 代 
码 进行 安全 性 分 析 ， 但 它 依 旧 无 法 取代 人 工 的 作用 。 在 可 预见 的 未 来 ， 软 件 安全 依然 被 认为 
是 一 门 艺术 ， 可 以 通过 技术 和 管理 流程 两 方面 进行 考量 ， 软 件 安全 并 不 是 不 可 企及 的 神话 ， 
而 是 可 以 通过 有 经 验 的 软件 安全 架构 师 和 工程 师 传 授 。 团 队 中 有 一 些 具有 丰富 经 验 、 可 以 在 
整个 开发 过 程 中 以 攻击 者 的 角度 考虑 问题 的 员工 是 SDL 成 功 的 关键 因素 。 有 些 SDL 实践 者 
将 代码 安全 的 最 佳 实践 和 安全 设计 原则 分 开 考虑 ; 本 书 中 ,我 们 将 它们 放 在 一 起 ， 由 经 验 丰 
富 的 软件 安全 架构 师 和 工程 师 来 完成 这 些 工作 。 

软件 的 安全 性 并 不 能 通过 传统 的 软件 开发 管理 流程 得 到 实现 ， 即 使 是 那些 有 高 质量 代码 
开发 传统 的 开发 小 组 也 无 法 不 通过 努力 就 自然 而 然 地 实现 这 一 目标 ; 软件 安全 性 ， 应 该 是 衡 
量 软件 代码 成 熟 度 的 一 个 关键 因素 ， 需 要 集中 力量 专门 地 对 待 。 如 本 书 所 述 ， 安 全 的 代码 并 
不 一 定 意味 着 高 质量 的 代码 ， 高 质量 的 代码 也 并 不 一 定 意味 着 安全 的 代码 ， 软 件 应 用 程序 开 
发 应 该 基于 包含 代码 高 质量 和 代码 安全 性 的 共同 最 佳 实践 。 





1.3 代码 的 质量 与 安全 


开发 应 用 软件 的 流程 ， 是 基于 代码 质量 和 代码 安全 共同 的 最 佳 原则 的 。 这 些 最 佳 原则 是 
软件 行业 最 佳 实践 的 概念 和 设计 背后 的 成 因 。 为 了 开发 经 得 起 时 间 考 验 的 安全 代码 ， 你 必须 
学 会 如 何 将 这 些 原则 纳入 到 开发 过 程 中 。 请 记 住 ， 安 全 的 代码 不 一 定 是 高 质量 的 代码 ， 高 质 
量 的 代码 不 一 定 是 安全 的 代码 。"” 

安全 的 代码 并 不 意味 着 高 质量 的 代码 : 在 写 出 安全 代码 之 前 你 必须 知道 ， 如 何 编写 高 质 
量 的 代码 。 一 个 开发 人 员 可 以 编写 非常 安全 的 代码 ， 可 以 授权 和 验证 用 户 的 每 一 个 请 求 ， 将 
请 求 内 容 记录 到 日 志 中 。 然 而 ， 如 果 代 码 连 预 期 的 结果 都 无 法 返回 ， 即 使 代码 写 得 再 安全 也 
无 法 使 软件 正常 使 用 。 软 件 质量 的 判定 标准 与 软件 安全 性 的 判定 标准 不 同 。 衡 量 软件 安全 性 
的 是 机 密 性 、 完 整 性 和 可 用 性 ， 而 衡量 软件 质量 的 是 易 用 性 、 可 重用 性 和 可 维护 性 。™™ 

高 质量 的 代码 并 不 意味 着 安全 代码 : 一 个 开发 人 员 可 以 编写 高 效 的 代码 ， 即 易于 维护 和 
可 重用 。 但是， 如 果 代 码 允 许 未 经 授权 的 用 户 获 取 应 用 系统 管理 的 资源 ， 它 也 是 不 能 使 用 的 。 
与 软件 质量 不 同 的 是 ， 软 件 安全 不 是 主观 的 。 无 论 敏感 信息 是 否 泄露 ， 都 没有 第 二 次 机 会 进 
行 修复 。 最 终 ， 业 内 认为 在 任何 安全 的 软件 开发 过 程 中 至 上 重要 的 三 个 主要 目标 是 质量 、 安 
全 和 可 维护 性 。™ 

软件 既 不 能 只 有 质量 没有 安全 ， 又 不 能 只 有 安全 没有 质量 。 这 两 个 属性 相辅相成 ， 两 者 
兼顾 才能 提升 软件 产品 的 完整 性 和 市 场 价值 。 好 的 开发 人 员 应 该 能 够 清楚 地 知道 影响 软件 质 
量 的 因素 有 哪些 ， 以 及 如 何在 代码 编写 中 实现 它们 。 同 样 ， 优 秀 的 开发 人 员 应 该 知道 他 们 开 
发 的 软件 可 能 面 对 哪 些 攻击 ， 以 及 软件 最 薄弱 的 地 方 ; 如 果 代码 允许 未 经 授权 的 用 户 访 问 应 
用 程序 管理 的 资源 ， 那 么 无 论 该 代码 是 否 被 披露 ， 都 没有 第 二 次 机 会 修复 它 。"™" 


14 ”SDL 三 个 最 重要 的 安全 目标 


任何 一 个 合格 的 开发 人 员 都 可 以 编写 非常 高 效 的 、 可 维护 的 和 易于 重用 的 代码 ; 但 是 ， 
如 果 该 代码 允许 未 经 授权 的 用 户 访 问 应 用 程序 管理 的 资源 ， 该 代码 就 是 不 安全 的 。 遗 憾 的 是 ， 
在 软件 开发 生命 周期 中 ， 安 全 性 仍然 是 经 常 被 忽视 或 者 投入 最 少 的 方面 。 信 息 安 全 界 认为 
SDL 最 低 也 是 最 为 重要 的 三 个 目标 是 : 

1. 机 密 性 

2. 完整 性 

3. 可 用 性 , 

这 三 个 目标 统称 为 CLA (Confidentiality, Integrity, Availability)。 人 们 普遍 认为 ， 在 软件 
开发 生命 周期 中 ， 开 发 者 通过 公认 有 效 的 方法 对 CLA. 进行 保证 、 增 强 、 保 护 ， 就 认为 代码 
是 高 可 信和 安全 的 。 

信息 安全 性 、 机 密 性 、 完 整 性 和 可 用 性 在 《44 U.S.C., Sec. 3542》 中 的 定义 如 下 所 示 。 

信息 安全 性 : 保护 信息 和 信息 系统 ， 避 免 未 经 授权 的 访问 、 使 用 、 汇 露 、 中 断 、 修 改 或 
破坏 ， 以 确保 信息 的 机 密 性 、 完 整 性 和 可 用 性 。 

机 密 性 : 对 信息 的 访问 和 泄露 进行 限制 ， 包 括 保 护 个 人 隐私 和 专 有 信息 的 手段 。 

完整 性 : 防止 不 正确 的 信息 修改 或 销毁 ， 包 括 确保 信息 不 可 抵赖 性 和 真实 性 。 

可 用 性 : 保证 信息 可 以 实时 使 用 。 六 
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机 密 性 、 可 用 性 和 完整 性 合 在 一 起 就 是 信息 安全 。 

机 密 性 是 通过 阻止 非 授 权 用 户 (人 或 软件 ) 访问 授权 信息 实现 的 。 如 果 保 证 机 密 性 ， 软 件 
就 会 认为 是 可 信 的 。 授 权 和 认证 是 机 密 性 的 两 个 属性 ， 授 权 确 保 用 户 具 有 相应 的 角色 和 特权 
获取 数据 ， 认 证 确保 用 户 确实 是 他 们 所 声称 的 ， 并 且 认 证 数据 来 自 合 适 的 地 方 。 应 用 程序 的 
完整 性 包括 数据 的 接受 、 传 输 和 存储 。 数 据 必须 保证 没有 被 未 授权 的 用 户 修改 ， 数 据 从 输入 
点 到 数据 库 ， 以 及 从 数据 库 返 回 到 输出 点 都 应 该 是 可 靠 的 。 数 据 加 密 、 数 字 签 名 和 公 钥 是 一 
些 保证 完整 性 的 方法 。 除 了 限制 宕 机 时 间 外 ， 可 用 性 还 包括 系统 或 软件 正常 工作 的 时 间 占 总 
工作 时 间 的 比例 。 作 为 软件 安全 的 重要 组 成 部 分 ,缺乏 机 密 性 、 可 用 性 和 完整 性 将 导致 产品 
声誉 及 销售 额 受 损 。 最 后 ， 在 好 的 业务 流程 中 ， 软 件 的 安全 性 与 软件 的 质量 是 同等 重要 的 。 


1.5 威胁 建 模 和 攻击 面 验证 


威胁 建 模 和 攻击 面 验证 也 许 是 SDL 中 最 耗 时 、 最 不 易 理解 和 困难 最 大 的 部 分 。 它 需要 软 
件 安全 架构 师 一 一 安全 团队 中 经 验 最 为 丰富 的 专家 来 完成 。 简 而 言 之 ， 威 胁 建 模 的 目的 是 理 
解 系统 的 潜在 威胁 ， 确 定 风险 ， 建 立 适 当 的 应 对 措施 (有 什么 风险 ”风险 严重 性 有 多 大 ?如 
何 消除 风险 ? )。 当 在 项 目 生 命 周期 的 早期 正确 地 进行 威胁 建 模 后 ， 就 可 以 在 代码 提交 前 发 现 
软件 设计 的 安全 问题 。 威 胁 建 模 使 问题 在 软件 开发 生命 周期 的 早期 就 得 到 了 解决 ， 从 而 节省 
了 大 量 成 本 。 威 胁 建 模 还 有 助 于 企业 管理 软件 风险 ， 并 提供 将 技术 风险 转换 为 业务 影响 的 能 
力 。 基 本 原则 是 ， 在 软件 生命 周期 中 越 早 识别 和 管理 安全 风险 越 好 。 

威胁 建 模 需 要 从 黑客 的 角度 深入 思考 ， 以 这 样 一 个 软件 行业 中 特殊 的 专业 知识 来 思考 软 
件 中 所 有 可 能 被 攻击 者 攻击 的 薄弱 环节 。 因 此 ， 这 是 一 个 与 其 他 方法 稍微 不 同 的 测试 方法 。 
尽管 专业 的 质量 控制 人 员 可 以 做 一 些 安全 测试 并 发 现 一 些 典 型 漏洞 ， 但 是 他 们 一 般 是 从 客户 
的 角度 来 思考 问题 的 ， 而 不 是 从 黑客 的 角度 。 通 常 企业 内 部 没有 这 样 的 专人 人 员 ， 需 要 聘请 
第 三 方 机 构 来 做 这 项 工作 。 

美国 一 家 软件 数据 分 析 中 心 (Data and Analysis Center for Software, DACS) 2008 年 10 月 
的 报告 “用 增强 软件 开发 生命 周期 的 方法 开发 安全 的 软件 产品 : 软件 保障 参考 指南 " (Enhancing 
the Development Lifecycle to Produce Secure Software: A Reference Guidebook on Software 
Assurance) 定义 了 一 个 软件 密集 型 系统 的 威胁 ， 即 “只 要 一 个 系统 外 部 允许 输入 ,任何 参与 
者 、 代 理 、 环 境 因素 或 者 事件 都 有 可 能 给 系统 、 数 据 或 者 资源 造成 危害 的 情况 ”。” 威胁 可 
以 根据 其 意向 进行 分 类 。 例 如 ， 威 胁 可 能 是 无 意 的 、 故 意 的 但 非 恶意 的 或 者 恶意 的 ; 恶意 的 
威胁 被 界定 为 故意 的 。 虽 然 所 有 三 个 类 别 的 威胁 都 有 可 能 破坏 软件 安全 性 ， 但 只 有 恶意 的 威 
胁 被 认为 是 攻击 。DSCS 报告 还 指出 : 


针对 软件 的 大 多 数 攻击 充分 利用 了 软件 的 一 些 漏洞 或 弱点 ; 由 于 这 个 原因 ,“ 攻 
+” (attack) 经 常 与 “利用 ”(exploit) 互 换 使 有 用， 尽管 BuildSecurityIn 攻击 模式 词汇 
表 已 明确 区 分 了 这 两 个 名 词 ， 攻 击 指 的 是 针对 目标 软件 本 身 的 ， 而 利用 攻击 针对 的 
是 有 缺陷 的 机 制 〈( 例 如， 一 种 技术 或 恶意 代码 )。 
软件 建 模 是 将 设想 的 软件 与 环境 的 交互 以 直观 的 方式 表现 出 来 的 方法 。 模 型 对 预期 环境 
描述 得 越 精确 ， 模 型 起 到 的 作用 就 越 大 。 因 此 ， 安 全 软件 设计 和 开发 得 益 于 明确 安全 威胁 后 
的 建 模 。 正 如 DACS 2007 年 软件 安全 保证 先进 报告 ( Software Security Assurance State-of-the- 
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Art Report, SOAR) 所 描述 ,“ 建 模 的 主要 问题 是 要 做 好 ; 要 全 面 ; 针对 建 模 的 结果 该 如 何 应 
对 (例如 ， 如 何 将 分 析 的 结果 转化 为 可 量化 或 其 他 方便 使 用 的 描述 点 )”。 结 合 威胁 和 建 模 的 
概念 ， 该 报告 定义 威胁 建 模 为 “…… 一 种 用 来 评估 和 记录 与 应 用 程序 相关 的 安全 风险 弱点 的 
系统 方法 。 要 求 开 发 团队 站 在 攻击 者 的 角度 攻击 应 用 程序 ， 从 而 确定 高 风险 的 组 件 ”。™™ 

在 时 间 和 资源 都 有 限 的 情况 下 ， 测 试 一 个 应 用 程序 中 所 有 的 代码 是 不 可 能 的 。 但 是 ， 测 
试 至 少 要 涵盖 应 用 程序 的 入 口 点 和 出 口 点 ， 这 些 暴 露 在 外 的 部 分 很 可 能 被 攻击 者 利用 ， 入 口 
点 和 出 口 点 统称 为 应 用 程序 的 攻击 面 。 可 访问 性 会 增加 软件 的 攻击 面 。 例如， 限制 管理 员 只 
能 在 本 地 登录 的 软件 的 攻击 面 ， 小 于 允许 匿名 用 户 远 程 访问 的 软件 的 攻击 面 。 

通过 覆盖 应 用 程序 中 的 所 有 代码 路 径 的 测试 可 达到 对 攻击 面 全 面 测试 的 目的 。 攻 击 面 的 
元 素 可 以 通过 扫描 工具 来 识别 ， 如 使 用 端口 扫描 工具 发 现 系 统 开启 的 端口 ， 使 用 代码 分 析 工 
具 定 位 代码 中 接收 输入 和 发 送 输出 的 部 分 。 对 于 定制 的 应 用 程序 ， 甚 至 需要 自己 开发 工具 来 
确认 程序 的 入 口 点 。 最 小 攻击 面 通常 在 软件 开发 生命 周期 的 早期 进行 定义 ， 并 在 之 后 的 阶段 
进行 测试 。 在 测试 之 前 正式 定义 和 测试 攻击 面 往往 是 有 帮助 的 。 正 如 本 书后 面 讨论 的 ， 尽 管 
工具 在 此 阶段 会 有 帮助 ， 但 人 工 仍然 是 必需 的 ， 比 如 经 验 丰 富 的 软件 安全 架构 师 。 
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软件 安全 只 与 软件 开发 团队 使 用 的 最 佳 实践 的 质量 和 相关 性 紧密 相关 。 软 件 安全 必须 从 
一 开始 就 构建 。 软 件 安全 是 设计 开始 阶段 的 重要 组 成 部 分 ， 并 包含 在 每 一 个 后 续 的 发 展 阶段 ， 
贯穿 于 完整 的 系统 中 。 通 过 SDLC 的 安全 增强 流程 尽早 地 解决 安全 漏洞 ， 要 比 系统 产品 化 后 
再 修复 和 纠正 这 些 安全 漏洞 成 本 低 得 多 。 这 将 会 大 大 减少 软件 发 布 后 需要 修补 的 漏洞 的 数量 ， 
这 些 漏 洞 会 损坏 公司 的 声誉 从 而 降低 公司 的 经 济 效益 。 今 天 ， 我 们 看 到 对 软件 开发 的 安全 需 
求 日 益 增 加 ， 安 全 性 需求 、 设 计 和 防御 原则 已 融入 到 传统 SDLC 中 ， 最 重要 的 是 ， 选 择 在 
SDLC 的 所 有 活动 中 都 能 满足 这 方面 需求 的 安全 开发 实践 。 

我 们 曾 在 “财富 500 强 ” 企 业 工作 ， 并 经 常 看 到 SDL 实践 中 失败 的 例子 。 在 这 本 书 中 ， 
我 们 采取 以 经 验 为 基础 的 方法 ， 运 用 最 佳 的 SDL 模型 组 件 ， 并 在 一 个 SDL 软件 安全 最 佳 实 
践 模型 和 框架 下 处 理 上 述 问 题 。 我 们 将 首先 概述 安全 开发 生命 周期 ， 然 后 将 SDL 最 佳 实践 映 
射 到 软件 开发 生命 周期 的 模型 ， 描 述 如 何 使 用 它 来 建立 一 个 成 熟 的 SDL 项 目 。 尽 管 安全 性 并 
没有 在 目前 的 软件 行业 得 到 重视 , 但 是 我 们 相信 ， 在 软件 开发 流程 中 融入 安全 性 的 增强 是 必 
要 的 、 可 以 实现 的 ， 也 是 重要 的 ,我 们 相信 本 书 介绍 的 软件 安全 最 佳 实践 和 模型 将 为 所 有 读 
者 明确 这 一 点 ， 无 论 你 是 经 营 者 、 管 理 者 还 是 实践 者 。 
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本 章 首先 介绍 使 用 安全 开发 生命 周期 (Secure Development Lifecycle, SDL) 来 克服 软件 安 
全 中 挑战 的 相关 概念 。 接 下 来 会 进一步 讨论 与 管理 和 克服 软件 安全 挑战 相关 的 模型 、 方 法 论 、 
工具 、 人 才 及 度量 标准 。 最 后 将 讨论 把 SDL 及 其 相关 的 最 佳 实践 应 用 到 一 个 通用 的 软件 开发 
生命 周期 ( Software Development LifeCycle, SDLC) 中 ， 这 将 是 接 下 来 6 章 的 主题 ， 随 后 一 章 
讲述 如 何 将 SDL 最 佳 实践 应 用 到 几 个 最 流行 的 软件 开发 方法 中 。 

现在 仍然 有 必要 将 更 好 的 静态 和 动态 测试 工具 ， 以 及 形式 化 安全 方法 融入 SDLC F, X 
在 大 多 数 软件 开发 机 构 力 所 能 及 的 范围 之 内 。 在 过 去 的 十 年 左右 ， 除 了 大 多 数 资源 丰富 的 公 
司 以 外 ， 主 要 的 SDL 模型 几乎 对 所 有 公司 来 说 是 遥 不 可 及 的 。 本 书 的 目标 是 : 基于 最 少 的 资 
源 和 最 佳 实践 创建 SDL， 而 不 是 所 需 资源 超出 大 多 数 软件 安全 团队 所 能 接受 的 范围 。 


2.1 克服 软件 安全 中 的 挑战 


如 第 1 章 所 述 ，SDL 是 软件 安全 演化 的 关键 步骤 ， 有 助 于 人 们 重视 构建 安全 的 软件 开发 
生命 周期 。 过 去 ， 软 件 产品 的 利益 相关 者 并 不 把 软件 安全 作为 一 项 高 度 优 先 的 事项 。 人 们 认 
为 ， 一 个 安全 的 网 络 基础 设施 将 会 提供 针对 恶意 攻击 所 需 的 保护 级 别 。 然 而 ， 最 近 几 年 ， 已 
经 证 明 单纯 的 网 络 安全 不 足以 防止 这 种 攻击 。 用 户 已 经 可 以 通过 相关 技术 成 功 渗透 有 效 的 渠 
道 认 证 ， 相 关 技 术 包 括 跨 站 点 脚本 ( Cross-Site Scripting, XSS)、 结 构 化 查询 语言 (Structured 
Query Language, SQL) 注入 和 缓冲 区 溢出 漏洞 利用 技术 等 。 在 这 种 情况 下 ， 系 统 资产 被 泄露 ， 
数据 和 组 织 的 完整 性 也 遭 到 破坏 。 安 全 行业 一 直 试 图 尝试 通过 应 急 措施 来 解决 软件 安全 问题 。 
首先 是 平台 安全 ( OS 安全 )， 然 后 是 网 络 / 周边 安全 ， 以 及 现在 的 应 用 程序 安全 。 我 们 确实 需 
要 深度 防御 来 保护 我 们 的 资产 ， 但 从 根本 上 它 是 一 个 软件 安全 漏洞 ， 需 要 通过 SDL 方法 进行 
修复 。 

SDL 拥有 开发 行业 、 政 府 标准 和 最 佳 实践 强化 软件 所 需 的 所 有 活动 与 安全 控制 ， 它 们 也 
是 SDL 的 基本 组 件 。 为 了 能 够 真正 阻止 、 识 别 和 减轻 已 开发 系统 中 的 可 利用 漏洞 ， 经 验 丰富 
的 工作 人 员 、 安 全 软件 的 策略 和 管制 要 求 是 必需 的 。 

如 果 不 满足 SDL 中 的 最 小 活动 要 求 ， 将 会 给 内 部 和 外 部 威胁 提供 误 用 系统 资产 的 机 会 。 
安全 不 再 单纯 是 一 个 网 络 要求 ， 它 现在 是 一 个 信息 技术 OT) 要 求 ， 其 中 包括 所 有 的 软件 开发 
意图 分 发 、 存 储 和 处 理 信 息 。 为 了 保护 客户 的 隐私 和 他 们 的 重要 信息 ， 组 织 必须 实施 最 高 标 
准 的 开发 以 保证 发 布 最 高 质量 的 产品 。 

SDL 程序 的 实现 ， 能 够 保证 良好 的 企业 软件 设计 和 开发 固有 的 安全 ， 而 不 是 在 产品 发 布 
后 。 使 用 SDL 方法 能 够 产生 切实 的 好 处 ， 例 如 保证 所 有 的 软件 版 本 符合 最 低 安 全 标准 ， 所 有 
的 利益 相关 者 支持 和 强制 执行 安全 准则 。 在 开发 周期 的 早期 漏洞 更 容易 被 修复 且 成 本 更 低 ， 
此 时 给 信息 安全 团队 提供 一 个 系统 化 的 方法 在 开发 过 程 中 协同 消除 软件 风险 。 

最 著名 的 SDL 模型 是 可 信 计 算 安 全 开发 生命 周期 (或 SDL)， 微 软 已 经 将 它 应 用 到 需要 承 
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受 恶意 攻击 的 软件 开发 中 。 微 软 的 SDL" 已 经 发 展 了 十 多 年 ， 被 认为 是 排名 前 三 的 成 熟 模型 。 
其 他 受 欢 迎 的 SDL 模型 有 Cigital 公司 的 软件 安全 触 点 模型 (Software Security Touchpoints 
model) "!, OWASP SDL”! 和 思科 的 安全 开发 生命 周期 (Cisco Secure Development Lifecycle, 
CSDL); 

微软 的 SDL 也 有 一 个 安全 开发 生命 周期 ( SDL) 的 优化 模型 外， 由 微软 以 外 的 开发 机 构 
设计 ， 旨 在 促进 渐进 的 、 一 致 的 和 具有 成 本 效益 的 SDL 实现 。 该 模型 帮助 那些 负责 将 安全 和 
隐私 集成 到 他 们 组 织 的 软件 开发 生命 周期 的 人 ,评估 其 当前 的 状态 ， 并 逐步 推进 组 织 使 用 可 
靠 的 微软 程序 以 生产 更 安全 的 软件 。 

SDL 优化 模型 使 得 开发 经 理 和 IT 决策 者 能 够 评估 开发 中 安全 的 状态 。 基 于 此 ， 他 们 可 以 
为 降低 客户 风险 创建 一 个 视图 和 路 线 图 ， 以 一 种 具有 成 本 效益 、 一 致 和 渐进 的 方式 编写 更 加 
安全 与 可 靠 的 软件 。 通 过 推进 SDL 优化 模型 的 成 熟 度 等 级 ， 组 织 管 理 层 对 SDL 目标 和 结果 
的 承诺 将 由 初步 接受 提高 为 强 有 力 的 授权 。™ 


2.2 软件 安全 成 熟 度 模型 


近年 来 ， 两 个 非常 流行 的 软件 安全 成 熟 度 模型 已 先后 开发 并 继续 快速 地 成 熟 。 一 个 是 
Cigital 的 内 置 安全 成 熟 度 模型 ( Building Security in Maturity Model, BSIMM) "!, 44 — ^E 
OWASP ( Open Web Application Security Project, 开放 Web 应 用 安全 项 目 ) 的 开放 软件 保证 成 
熟 度 模 型 ( Software Assurance Maturity Model, SAMM) "!, BSIMM 是 一 项 面向 真实 软件 安全 
措施 的 研究 ， 帮 助 你 确定 软件 安全 措施 和 如 何 组 织 工 作 时 间 。BSIMM 是 Cigital 开发 的 一 系 
列 最 佳 实践 ， 分 析 9 个 领先 的 软件 安全 措施 的 真实 数据 ， 并 基于 成 功 的 公共 区 域 创 建 框架 。 
有 12 个 实践 组 织 为 4 个 域 。 这 些 实践 都 用 于 组 织 109 个 BSIMM 活动 ( BSIMM 4 共有 111 个 
活动 )。 

通过 研究 这 9 个 措施 都 在 干 些 什么 ，BSIMM 的 创造 者 能 够 建立 一 个 最 佳 实践 模型 ， 该 模 
型 分 解 为 软件 制造 商 可 以 遵循 的 12 个 类 : 

1. 策略 和 度量 标准 

2. 符合 性 和 政策 

3. 培训 

4. 攻击 模型 

5. 安全 特征 和 设计 

6. 标准 和 要 求 

7. 架构 分 析 

8. 代码 审查 

9. 安全 测试 

10. 渗透 测试 

11. 软件 环境 

12. 配置 和 漏洞 管理 驻 

. BSSIM 的 第 4 个 版 本 发 布 于 2012 年 9 月 18 日 ， 它 的 一 些 要 点 如 下 。 
。BSIMM 项 目 中 ,除了 原 有 的 109 个 活动 之 外 ， 首 次 观察 到 新 的 活动 ， 因 此 未 来 模型 增 
加 了 两 个 新 的 活动 : 模拟 软件 危机 和 自动 化 恶意 代码 检测 。 
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e BSIMM4 包括 来 自 12 个 垂直 行业 的 51 家 公司 。 
。BSIMM4 相对 于 BSIMM3 增长 了 20%， 比 2009 年 版 大 十 几 倍 。 
。BSIMM4 数据 集 有 95 个 不 同 的 测量 (有 些 公司 多 次 测量 ， 一 些 公 司 由 多 个 部 门 单独 测 
量 并 得 到 一 个 公司 评分 )。 
。BSIMM4 继续 表明 ， 领 先 的 公司 雇用 的 每 100 个 开发 人 员 中 平均 有 两 名 全 职 的 软件 安 
全 专家 。 
。BSIMM4 介绍 了 与 2039 名 保证 某 软 件 安全 的 开发 人 员 共 事 的 974 名 软件 安全 专业 人 士 
的 工作 ， 该 软件 由 218 286 AFRA. s 
OWASP 的 软件 保证 成 熟 度 模型 ( SAMM) 是 一 个 灵活 的 规范 性 框架 ， 用 于 把 安全 性 融入 
软件 开发 组 织 。 通 过 覆盖 多 于 典型 的 SDLC 基础 模型 的 安全 性 ，SAMM 使 得 组 织 能 够 自行 评 
佑 其 安全 保障 程序 ， 然 后 使 用 建议 的 路 线 图 在 组 织 面 对 的 特定 风险 方面 有 所 改进 。 除 此 之 外 ， 
SAMM 能 够 创建 记分 卡 ， 记 录 在 典型 的 管理 、 开 发 和 部 署 业 务 功 能 过 程 中 组 织 在 安全 开发 方 
面 的 有 效 性 。 记 分 卡 也 能 够 在 组 织 内 部 实现 管理 ， 通 过 迭代 建立 安全 保证 程序 来 说 明 量 化 的 
改进 。 呈 


2011 年 ， 国 际 标准 化 组 织 (International Standards Organization, ISO) / 国际 电工 委员 会 
(International Electrotechnical Commission, IEC) 发 布 ISO / IEC27034-1:2011 中 6 个 应 用 安全 
标准 的 第 1 部 分 。 呈 该 标准 提供 了 一 个 简洁 并 且 国际 公认 的 方式 来 获得 厂商 / 供应 商 软件 安 
全 管理 流程 的 透明 性 。 为 了 配合 不 同 的 工程 组 织 ， 该 标准 设计 具有 足够 的 灵活 性 ， 但 为 了 解 
决 现 实 世 界 的 风险 ， 它 又 足够 具体 。 虽 然 它 还 尚未 完成 ， 但 它 即将 完成 并 很 有 可 能 会 类 似 于 
ISO / IEC27001 的 IT 安全 标准 ， 即 客户 、 合 作 伙 伴 和 他 们 的 工程 团队 将 会 期 望 的 规范 。 作 为 
一 个 来 自 于 国际 机 构 而 不 是 三 商 的 软件 安全 标准 ， 它 还 没有 绑 定 到 特定 的 技术 。 在 撰写 本 书 
时 , 第 2 ~ 6 部 分 仍 处 于 工作 草案 阶段 ， 由 以 下 5 部 分 组 成 : 第 2 部分， 组织 规 范 性 框架 ; 
第 3 部 分 ， 应 用 安全 管理 流程 ; 第 4 部 分 ， 应 用 安全 验证 ; 第 5 部 分 ， 协议 和 应 用 安全 控制 
数据 结构 ; 第 6 部分， 具体 应 用 的 安全 指导 。" 1 多 年 来 ， 当 组 织 (和 他 们 的 客户 ) 开始 关注 
言 息 安 全 时 ， 安 全 和 规范 行业 提出 了 大 量 的 证 明 、 认 证 和 方法 。 这 些 标准 /证 明 都 声称 自己 
是 独特 的 ， 因 为 它们 能 够 衡量 一 个 组 织 的 安全 状态 。 竞 争 和 市 场 宣传 导致 混乱 ， 不 同 的 组 织 
规范 着 不 同 的 认证 。 作 者 已 经 看 到 组 织 正在 推动 他 们 的 客户 〈 在 大 多 数 情况 下 ， 其 他 公司 ) 采 
用 他 们 推荐 的 认证 。 对 于 “财富 500 强 ” 企 业 来 说 ， 这 意味 着 获得 多 重 的 证 明 /认证 作为 安 
全 状况 的 一 个 证 据 。 由 于 大 多 数 证 明 /认证 集中 关注 “ 合 规 监控 ”或 “基于 策略 的 安全 ”， 这 
并 没有 帮助 。 随 着 诸如 SOX、GLBA Safe Harbor 和 HIPAA 等 规则 更 添 混 乱 ， 情 况 将 变 得 更 
糟 。 公 司 经 常 要 进行 一 系列 认证 ， 分 别 用 于 规范 、 安 人 全、 隐私、 信用 卡 、 人 身 安 全 等 。 

ISO/IEC 制定 了 ISO/IEC 27001 标准 (44 A ISO/IEC 17799， 这 一 直 是 信息 安全 事实 上 的 
ISO 标准 )。 它 是 一 个 信息 安全 管理 体系 (Information Security Management System, ISMS) 标 
准 ， 通 过 制定 一 个 管理 体系 获得 正式 管理 控制 下 的 信息 安全 。 它 规定 了 一 个 组 织 采用 该 标准 
时 需要 满足 的 具体 要 求 。 该 标准 从 整体 上 解决 了 信息 安全 问题 ， 圳 括 了 从 物理 安全 到 规范 的 
所 有 内 容 。 行 业 踊跃 采用 该 实践 ，ISO/IEC 27001 是 当今 面向 信息 安全 管理 体系 (SMS) 的 领 
先 标准 。 大 多 数 其 他 标准 的 控制 策略 都 可 以 映射 回 ISO/IEC 27001 标准 中 。 这 使 得 组 织 能 够 
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在 一 个 标准 下 加 强 各 种 安全 力度 ， 寻 求 整体 安全 考虑 下 的 单一 框架 ， 并 以 一 种 一 致 的 方式 收 
集 度量 标准 来 衡量 和 管理 一 个 组 织 的 安全 。 

在 ISO/IEC 27001 标准 出 现 的 几 年 前 ， 作 者 看 到 与 信息 安全 类 似 的 软件 安全 (M SDL) 已 
经 出 现 。 有 多 种 SDL 方法 (开放 的 和 专 有 的 )， 每 一 个 都 自称 比 下 一 个 好 。 混 乱 阻碍 了 组 织 
中 实现 软件 安全 的 最 佳 方式 。 对 一 个 组 织 应 用 任何 一 个 框架 ， 要 求 组 织 采 用 不 同 的 过 程 或 者 
定制 一 个 使 用 他 们 环境 的 SDL 框架 。 随 着 ISO/IEC 27034 标准 的 出 现 ， 作 者 看 到 软件 安全 标 
YE /框架 开始 整合 ， 就 像 ISO/IEC 27001 标准 对 于 信息 安全 的 影响 。 即 使 处 于 起 步 阶段 ， 也 应 
该 意识 到 ISO/IEC 27034 标准 的 重要 性 。 微 软 已 经 宣布 其 SDL 方法 将 会 遵守 ISO/IEC 27034-1 
PME, "O 我 们 期 望 在 不 久 的 将 来 能 够 看 到 其 他 框架 类 似 的 结果 。 

ISO/IEC 27034 tri HE (HE AE By ZHAN fh Be (包括 应 用 程序 生命 周期 ) 安全 方面 的 指导 ， 
有 助 于 环境 中 运行 安全 的 应 用 程序 。 它 是 一 种 基于 风险 的 框架 ， 通 过 流程 整合 /改进 来 管理 
应 用 程序 ， 持 续 不 断 地 提高 其 安全 性 。 这 需要 过 程 方法 的 设计 。 

作者 推荐 的 SDL 框架 可 以 映射 到 ISO/IEC 27034 框架 中 。 我 们 将 会 在 附录 A 中 列 出 相关 
的 映射 关系 。 


2.4 其 他 SDL 最 佳 实践 的 资源 
还 有 其 他 SDL 最 佳 实践 的 资源 ， 下 面 介绍 其 中 几 种 最 流行 的 资源 : 
2.4.1 SAFECode 


卓越 代码 软件 保障 论坛 ( Software Assurance Forum for Excellence in Code, SAFECode) 是 
一 个 非 营 利 性 组 织 ， 致 力 于 通过 先进 有 效 的 软件 保证 方法 ， 增 加 信息 、 通 信 技 术 产品 和 服务 
的 可 信 性 。SAFECode 是 一 项 全 球 性 的 、 行 业主 导 的 工作 ， 确 定 和 推广 开发 提供 更 安全 可 靠 
的 软件 、 硬 件 和 服务 的 最 佳 实践 。 它 意味 着 提供 一 系列 基础 的 安全 开发 实践 ， 在 不 同 的 开发 
环境 下 由 SAFECode 成 员 实 际 实 现 的 软件 安全 已 得 到 有 效 改 善 。 通 过 对 成 员 个 人 软件 安全 工 
作 的 不 断 分 析 ， 我 们 确定 这 些 是 SAFECode 成 员 采 用 的 “练习 实践 ”。 把 这 些 方 法 集合 起 来 并 
分 享 给 更 大 的 社区 ，SAFECode 希望 在 这 个 行业 理论 定义 的 最 佳 实践 之 外 ， 描 述 一 系列 软件 
工程 实践 ， 其 已 被 证 明 能 够 改善 软件 安全 ， 并 当前 使 用 在 领先 的 软件 公司 中 。m"™" 


24.2 ”美国 国土 安全 软件 保障 计划 


自 2004 年 以 来 ， 美国 国土 安全 部 (Department of Homeland Security, DHS) 软件 保障 计划 
已 资助 了 网 站 内 置 安全 ( Build Security In, BSI) 的 开发 。"" BSI 的 内 容 基 于 以 下 原则 : 软件 
安全 本 质 上 是 一 个 软件 工程 问题 ， 必 须 在 整个 SDLC 中 以 一 种 系统 的 方式 进行 管理 。 

美国 国土 安全 部 国家 网 络 安全 办 公 室 (National Cyber Security Division, NCSD) 的 软件 保 
障 〈Software Assurance, SWA) 计划 和 旨 在 减少 软件 漏洞 ， 最 大 限度 地 减少 开发 ， 以 及 改善 可 信 
软件 产品 的 日 常 开发 和 部 署 。 与 开放 政府 指令 一 致 ， 该 计划 促使 公共 和 私营 部 门 合 作 ， 包 括 
开发 、 发 布 和 推广 实用 指南 与 工具 的 使 用 ; 促进 更 安全 、 更 可 靠 软件 产品 的 投资 。 美 国 国土 
安全 部 软件 保障 计划 与 私营 部 门 、 学 术 界 以 及 其 他 联邦 部 门 和 机 构 合作 ， 通 过 活动 加 强 软 件 
生命 周期 过 程 和 技术 的 安全 ， 比 如 软件 保障 论坛 ， 是 由 美国 国防 部 (Department of Defense, 
DoD) 和 美国 国家 标准 与 技术 研究 所 (National Institute of Standards and Technology, NIST) 
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共同 赞助 的 。 由 美国 国土 安全 部 国家 网 络 安全 办 公 室 和 美国 国家 安全 局 (National Security 
Agency, NSA) 资助 的 一 项 关键 倡议 是 共同 缺陷 枚 举 ( Common Weakness Enumeration, CWE). 
CWE 是 DHS 和 NSA， 以 及 软件 社区 (包括 政府 、 私 营 部 门 和 学 术 界 ) 的 共同 成 果 ，MITRE 
公司 提供 技术 指导 和 项 目 协调 。 超 过 800 个 软件 缺陷 已 经 被 确定 和 编目 。 超 过 47 个 产品 和 服 
务 已 经 以 一 种 兼容 的 方式 使 用 CWE。 为 了 减少 多 次 被 利用 的 编程 错误 ，SANS 协会 (软体 保 
障 论坛 的 积极 参与 者 )， 整 理 了 前 25 个 CWE. SANS 提出 了 关注 前 25 个 CWE 的 想法 ， 这 种 
努力 代表 了 团体 合作 ， 优 先 考 虑 最 可 能 被 利用 (使 软件 容易 遭受 攻击 或 出 现 故 障 ) 的 结构 。 这 
促进 了 DHS 共同 资助 的 CWE 并 巩固 了 SANS 于 2001 年 创立 的 “Top XXX” 品 牌 ， 开 始 是 
Top 10 一 一 组 织 应 该 优先 解决 的 第 一 份 安全 问题 列表 。"™ 

CWE 是 NCSD 软件 保障 计划 的 重要 组 成 部 分 。 这 份 错误 清单 使 得 CWE 成 为 实用 的 、 可 
操作 和 可 度量 的 焦点 ,将 会 帮助 人 们 制作 并 展示 真正 的 进展 。 公 共 与 私营 部 门 的 合作 构成 
了 NCSD SwA 的 计划 的 基础 。CWE 是 一 直 倡 导 的 公私 合作 的 一 个 范例 。 与 开放 政府 指令 一 
致 ，SwA 计划 的 CWE 赞助 使 得 团队 参与 、 协 作 和 透明 成 为 可 能 。CWE 提供 了 可 利用 软件 架 
构 必 要 的 表征 ; 从 而 在 软件 交付 并 投入 运营 之 前 ， 能 够 更 好 地 教育 和 培训 程序 员 如 何 消除 常 
见 的 错误 。 这 与 BSI 方 法 相互 配合 ， 使 得 软件 更 安全 地 开发 ， 从 而 避免 长 远 来 看 的 安全 问题 。 
CWE 提供 了 理解 剩余 风险 的 标准 ， 从 而 使 得 关心 软件 安全 的 供应 商 和 消费 者 能 够 做 出 更 明智 
KRR. 


24.3 ”美国 国家 标准 与 技术 研究 院 


美国 国家 标准 与 技术 研究 院 ( National Institute of Standards and Technology, NIST) 主要 问 
政府 和 企业 信息 安全 社区 提供 研究 、 信 息 和 工具 。 以 下 是 NIST 贡献 给 软件 安全 社区 的 一 些 
关键 领域 。 

NIST 的 软件 保障 度量 和 工具 测量 ( Software Assurance Metrics And Tool Evaluation, 
SAMATE) 项 目 致 力 于 开发 软件 工具 测量 方法 (测量 工具 和 技术 的 有 效 性 ， 确 定 工具 和 方法 之 
间 的 差异 ) 以 提高 软件 保障 。 该 项 目 支持 美国 国土 安全 部 的 软件 保障 工具 和 研发 需求 识别 计 
划一 一 特别 是 第 3 部 分 : 技术 (工具 和 要 求 )、 识 别 、 增 强 和 软件 保障 工具 的 开发 。SAMATE 
项 目的 范围 很 广 ， 从 操作 系统 到 防火 墙 ， 从 SCADA 到 Web 应 用 程序 ， 从 源 代 码 安全 分 析 到 
正确 的 实施 方法 都 包含 。 

NIST 特别 出 版 物 (Special Publication, SP) 800-64,《 系 统 开 发 生命 周期 中 的 安全 考虑 》 
已 在 完善 中 ， 以 协助 联邦 政府 机 构 把 重要 的 信息 技术 安全 步骤 整合 到 他 们 现 有 的 IT 系统 开发 
生命 周期 中 。 这 个 安全 考虑 指导 原则 适用 于 除了 国家 安全 系统 之 外 所 有 的 联邦 IT 系统 。 该 
文件 旨 在 作为 一 个 参考 资源 ， 而 不 是 一 个 教程 ， 在 整个 系统 的 开发 过 程 中 应 该 与 其 他 所 需 的 
NIST 出 版 物 一 起 使 用 。 

美国 国家 漏洞 数据 库 (National Vulnerability Database, NVD) 是 基于 标准 的 漏洞 管理 数 
据 使 用 安全 内 容 自动 化 协议 (Security Content Automation Protocol, SCAP) 表示 的 美国 政府 
资料 库 。 这 些 数据 实现 了 漏洞 管理 、 安 全 测量 和 合 规 的 自动 化 。NVD 包括 安全 检查 表 数 据 
库 、 安 全 相关 的 软件 缺陷 、 错 误 配 置 、 产 品名 称 和 影响 度量 标准 。 握 NVD 公共 漏洞 评分 系统 
(Common Vulnerability Scoring System, CVSS) 提供 了 一 个 开放 的 框架 ， 用 于 表示 IT 漏洞 的 特 
征 和 影响 。 其 量化 模型 确保 可 重复 的 精确 测量 ， 同 时 用 户 能够 看 到 用 来 生成 分 数 的 基本 漏洞 
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特征 。 因 此 ，CVSS 非常 适合 作为 标准 测量 系统 用 于 产业 、 企 业 和 政府 中 ， 它 们 需要 准确 和 
一 致 的 漏洞 影响 分 数 。CVSS 两 个 常见 的 应 用 是 : 优先 漏洞 修复 活动 ; 计算 某 一 系统 中 发 现 
漏洞 的 严重 程度 。NVD 提供 几乎 所 有 已 知 的 漏洞 的 CVSS 分 数 。 特 别 是 ，NVD 支持 面向 所 
有 CVE 漏洞 的 CVSS Version 2 标准 。NVD 提供 CVSS“ 基 础 分 数 "， 代 表 每 一 个 漏洞 的 先天 
特征 。 它 目前 不 能 准确 提供 “瞬时 分 数 ”( 由 于 漏洞 外 部 事件 的 变化 ， 分 数 随时 间 而 改变 )。 然 
mi, NVD 确实 提供 了 一 个 CVSS 分 数 计算 器 ， 可 以 计算 瞬时 分 数 ， 甚 至 计算 环境 得 分 (反映 
该 漏洞 对 组 织 的 影响 )。 该 计算 器 支持 美国 政府 机 构 依 据 FIPS 199 系统 排名 自 定义 漏洞 影响 
分 数 。 我 们 将 在 本 书后 面 的 章节 讨论 管理 软件 安全 CVSS 分 数 的 使 用 。™ 


2.4.4 MITRE 公司 公共 计算 机 漏洞 和 暴露 


MITRE 公司 公共 计算 机 漏洞 和 暴露 (Computer Vulnerability and Exposure, CVE) 是 一 个 
被 广泛 认同 的 信息 安全 漏洞 和 暴露 的 清单 。CVE 的 目标 是 使 用 这 个 “共同 枚 举 ” 能 够 更 容易 
地 在 独立 的 漏洞 功能 (工具 库 、 存 储 库 和 服务 ) 间 共 享 。 信 息 安 全 漏洞 是 可 以 直接 被 黑客 利 
用 进而 访问 系统 或 网 络 的 软件 错误 ， 请 参阅 CVE 网 站 Terminology 页 面 详细 了 解 在 CVE 中 
如 使 用 该 术语 。 信 息 安全 暴露 是 允许 访问 信息 的 软件 错误 ， 或 者 被 黑客 利用 作为 跳板 访问 系 
统 或 网 络 的 能 力 。 采 用 通用 的 标识 符 可 以 更 容易 地 在 不 同 的 数据 库 、 工 具 和 服务 中 共享 数据 ， 
直到 1999 年 CVE 才 出 现 ， 它 不 容易 集成 。 如 果 安 全 能 力 报 告 包 含 CVE 标识 符 ， 就 可 以 快 
速 、 准 确 地 访问 一 个 或 多 个 兼容 CVE 的 独立 工具 、 服 务 和 存储 库 中 的 信息 ， 以 便 处 理 这 个 问 
题 。 借 助 CVE， 工 具 和 服务 能 够 “对 话 ”( 即 交换 数据 )。 因 为 CVE 提供 了 用 于 评估 工具 覆盖 
面 的 基线 ， 所 以 你 将 会 确切 知道 彼此 覆盖 了 什么 。 这 意味 着 可 以 决定 哪 一 个 工具 是 最 有 效 和 
最 适合 组 织 需求 的 。 总 之 ，CVE 兼容 的 工具 、 服 务 和 数据 库 将 会 带 来 更 好 的 覆盖 面 、 更 容易 
的 互 操作 性 和 增强 的 安全 性 。 

Bugtraq ID 是 面向 一 个 商业 运作 的 漏洞 数据 库 (使 用 在 安全 公告 和 警报 中 ) 和 Bugtraq 邮 
件 列表 讨论 的 标识 符 。CVE 标识 符 来 自 国际 信息 安全 的 努力 ， 是 公开 可 用 的 并 且 是 免费 使 用 
的 。CVE 标识 符 的 唯一 目的 是 提供 一 个 通用 名 称 。 为 此 ，CVE 标识 符 经 常 被 研究 人 员 以 及 安 
全 工具 、 网 站 、 数 据 库 和 服务 制造 商 使 用 ， 作 为 识别 漏洞 和 与 其 他 也 使 用 CVE 标识 符 的 存储 
库 交 联 的 标准 方法 。 对 于 任何 给 定 的 漏洞 或 暴露 ，CVE 标识 符 会 提供 标准 化 的 标识 符 。 知 道 
这 种 标识 符 ， 就 可 以 快速 、 准 确 地 访问 CVE 兼容 的 多 个 信息 源 中 相关 问题 的 信息 。 例 如 ， 如 
果 你 拥有 一 个 其 报告 包含 CVE 标识 符 引 用 的 安全 工具 ， 你 就 可 以 获得 另 一 个 兼容 CVE 的 数 
据 库 中 的 修复 信息 。CVE 还 提供 了 一 个 评估 工具 获 盖 范围 的 基线 。 

CVE 列表 反馈 给 美国 NVD， 该 数据 库 以 包含 在 CVE 条 目 中 的 信息 为 基础 ， 给 每 一 个 
CVE 标识 符 提 供 增强 型 信息 (比如 : 修复 信息 、 严 重 程度 打分 、 影 响 指 数 )。NVD 也 提供 了 
高 级 搜索 功能 ， 如 依据 个 人 CVE-ID 、 操 作 系统 、 供 应 商 名 称 、 产 品名 称 和 /或 版 本 号 、 漏 洞 
类 型 、 严 重 程度 、 相 关 开 发 范围 和 影响 。 

CVE 由 美国 国土 安全 部 NCSD 资助 。US-CERT 是 NCSD 的 业务 部 门 。US-CERT 将 CVE 
标识 符合 并 到 其 安全 顾问 中 (只 要 有 可 能 )， 并 提倡 美国 政府 和 所 有 信息 安全 社区 的 成 员 使 用 
CVE 和 CVE 兼容 的 产品 与 服务 。MITRE 公司 负责 维护 CVE 和 公共 网 站 ， 管 理 兼容 性 计划 ， 
并 向 编辑 部 提供 公正 的 技术 指导 ， 以 确保 CVE 服务 于 公众 利益 。 呈 习 


安 会 开发 生 耸 周期 17 





2.4.5 SANS 研究 所 高 级 网 络 安全 风险 


SANS 研究 所 高 级 网 络 安全 风险 ， 之 前 的 SANS 20 个 最 关键 的 互联 网 安全 漏洞 ， 是 互联 
网 安全 中 最 关键 问题 领域 的 一 个 共识 列表 ， 如 果 系 统 上 存在 这 些 漏 洞 就 需要 立即 修复 。 纠 正 
这 些 安全 缺陷 的 步骤 说 明和 更 多 信息 的 链接 也 作为 该 列表 的 一 部 分 。SANS 列表 包括 CVE tr 
识 符 来 唯一 标识 它 描述 的 漏洞 。 这 有 助 于 系统 管理 员 使 用 CVE 兼容 的 产品 和 服务 ， 使 他 们 的 
网 络 更 安全 。 [26, 27, 28] 


246 ”美国 国防 部 网 络 安全 与 信息 系统 信息 分 析 中 心 


2012 年 9 月， 软件 数据 与 分 析 中 心 (Data & Analysis Center for Software, DACS)、 信 息 
保障 技术 分 析 中 心 (Information Assurance Technology Analysis Center, IATAC) 和 建 模 与 仿真 
信息 分 析 中 心 (Modeling and Simulation Information Analysis Center, MSIAC) 合并 ， 成 立 了 网 
络 安全 与 信息 系统 信息 分 析 中 心 ( Cyber Security and Information Systems Information Analysis 
Center, CSIAC) 。CSIAC 是 美国 国防 技术 信息 中 心 (Defense Technical Information Center, 
DTIC) 资助 的 8 个 信息 分 析 中 心 之 一 ， 执 行 必要 的 基本 操作 中 心 (Basic Center of Operations, 
BCO) 功能 ， 实 现 网 络 安全 、 信 息 保 障 、 知 识 管 理 和 信息 共享 、 软 件 密集 型 系统 工程 以 及 建 
模 和 仿真 的 使 命 和 目标 ， 其 适用 于 美国 国防 部 研究 开发 测试 和 评估 ( Research Development 
Test and Evaluation, EDT&E) 以 及 收购 社区 的 需求 。m 过去，DACS 已 经 为 社区 提供 了 一 些 
关于 软件 安全 和 SDL 的 优秀 文档 ， 尤 其 是 ,“ 提 高 开发 生命 周期 以 生产 安全 软件 : 软件 保障 
参考 指南 ”( 2008 ) "和 联合 IATAC/DACS 的 报告 “软件 安全 保障 : 技术 现状 报告 ”( SOAR) 
(2008 ) 中 1， 我 们 期 望 他 们 能 够 在 CSIAC 的 保护 伞 下 继续 这 样 做 。 


2.4.7 CERT、 Bugtraq 和 SecurityFocus 


除了 上 面 讨论 的 资源 以 外 ， 卡 内 基 梅 隆 计 算 机 应 急 响应 小 组 ( Computer Emergency 
Readiness Team, CERT) °”, Bugtraq PC 和 SecurityFocus 是 读者 应 该 知道 的 其 他 3 个 资源 。 

CERT 提供 安全 漏洞 的 及 时 警报 和 漏洞 的 每 周 总 结 公告 (CERT 网 络 安全 公告 )。 公 告 中 
的 信息 包括 CVSS 分 数 和 CVE ID， 后 者 用 来 唯一 标识 漏洞 。 汇 编 结 果 建 立 在 过 去 的 一 周 中 
NIST NVD” 所 记录 的 基础 之 上 。 本 书后 面 的 章节 将 详细 讨论 CVSS 打分 过 程 。 

Bugtraq 是 一 种 电子 安全 邮件 列表 ， 提 供 安全 漏洞 信息 和 来 自 供应 商 的 安全 公告 及 通 
知 。 该 列表 通常 包含 额外 的 信息 ， 例 如 漏洞 利用 示例 和 已 发 现 问 题 的 修复 。Bugtraq 是 
SecurityFocus 安全 门户 网 站 的 一 部 分 ， 其 目前 由 赛 门 铁 克 (Symantec) 所 有 。Bugtraq 是 许 
多 通过 SecurityFocus 的 安全 邮件 列表 之 一 。 还 有 其 他 一 些 有 用 的 邮件 列表 ， 如 专用 于 微软 、 
Linux, IDS 和 意外 事件 的 邮件 列表 。 


25 关键 工具 和 人 才 


如 同 所 有 的 安全 任务 一 样 ， 无 论 它们 的 方法 是 攻击 还 是 防御 ， 总 要 有 成 功 所 需 的 过 程 、 
技术 和 人 力 的 一 个 融合 。 迄 今 为 止 ， 可 用 于 软件 安全 的 过 程 和 模型 已 在 本 节 中 讨论 了 。 有 两 
个 要 素 : 一 个 是 技术 (TH) 方面 ， 它 在 软件 安全 方面 提供 帮助 或 制造 麻烦 ; 男 一 是 人 力 (人 
才 ) 方面 。 








2.5.1 工具 


三 个 主要 的 工具 是 SDL 的 基础 : 模糊 测试 、 静 态 和 动态 分 析 工 具 。 本 书后 面 的 章节 将 详 
细 介 绍 它们 在 SDL 使 用 方面 的 最 佳 实践 ， 一 个 高 层次 的 概述 如 下 。 

2.5.1.1 模糊 测试 

模糊 测试 ( Fuzz testing/Fuzzing) 是 一 种 自动 或 半自动 化 的 黑 盒 软件 测试 技术 ， 它 为 某 一 
计算 机 软件 程序 输入 提供 了 无 效 、 意 外 或 者 随机 数据 。 换 名 话说 ， 它 通过 使 用 一 种 自动 化 的 
畸形 / 半 畸 形 数据 注入 方式 发 现 bug 或 者 安全 缺陷 。 软 件 程序 的 输入 用 于 监控 异常 返回 ， 如 
骨 溃 、 出 错 的 内 置 代 码 断 言 和 潜在 的 内 存 泄漏 。 模 糊 测 试 已 成 为 测试 软件 或 计算 机 系统 安全 
问题 的 一 个 关键 要 素 。 相 对 于 其 他 工具 ， 模 糊 测试 一 个 明显 的 优势 是 ， 其 测试 设计 非常 简单 
并 且 与 系统 行为 无 关 。 

模糊 测试 是 软件 安全 的 关键 要 素 ， 必 须 嵌 入 到 SDL 中 。 有 很 多 供应 商 在 这 个 领域 可 供 
选择 ， 有 的 开发 商 甚 至 开发 他 们 自己 的 工具 。 两 个 流行 的 模糊 测试 工具 是 Codenomicon™ 
和 Peach Fuzzing Tool ©, Codenomicon 是 市 场 上 可 用 的 最 成 熟 的 模糊 测试 工具 之 一 ，Peach 
Fuzzing Tool 是 更 受 欢 迎 的 开源 工具 之 一 。 正 如 在 本 书后 面 章节 所 看 到 的 ， 模糊 测 试 工具 在 
SDL 中 使 用 的 时 机 是 至 关 重 要 的 。 还 应 当 注 意 的 是 ， 模 糊 测试 适用 于 安全 和 质量 保障 测试 。 

在 很 多 软件 开发 计划 中 ， 已 认为 模糊 测试 既是 一 个 关键 要 素 ， 也 是 一 个 主要 的 不 足 之 
处 ， 因 此 它 现在 是 美国 国防 部 的 信息 保障 认证 和 认定 程序 ( Defense Information Assurance 
Certification and Accreditation Process, DIACAP) 的 要 求 。 

2.5.1.2 静态 分 析 

静态 程序 分 析 是 指 在 不 实际 运行 程序 的 条 件 下 ， 进 行 计算 机 软件 分 析 的 方法 。 它 主要 针 
对 特定 版 本 的 源 代码 ， 也 有 些 静 态 程序 分 析 的 对 象 是 目标 代码 。 与 此 相反 ， 动 态 分 析 需 要 在 
程序 运行 时 才能 进行 。 静 态 分 析 是 通过 一 个 自动 化 的 软件 工具 进行 的 ， 不 应 与 人 工分 析 或 者 
软件 安全 架构 评审 相 混 淆 ， 其 中 涉及 人 工 代 码 评 审 、 程 序 认识 和 理解 。 如 果 使 用 得 当 ， 静 态 
分 析 工 具 相 对 于 人 工 静 态 分 析 具 有 明显 的 优势 ， 即 分 析 能 够 更 加 频繁 地 进行 ， 安 全 知识 普遍 
优 于 标准 的 软件 开发 人 员 。 它 还 给 予 经 验 丰 富 的 软件 安全 架构 师 或 者 工程 师 充 足 的 时 间 ， 只 
需 在 绝对 必要 的 时 候 他 们 出 现 即 可 。 

静态 分 析 ， 也 称 为 静态 应 用 安全 测试 (Static Application Security Testing, SAST)， 在 一 个 
项 目的 开发 或 质量 保障 阶段 识别 漏洞 。 它 提供 了 行 代码 级 检测 ， 使 得 开发 团队 能 够 快速 地 修 
补漏 洞 。 

静态 分 析 工 具 的 使 用 和 适合 环境 的 供应 商 的 选择 是 成 功 的 另 一 个 关键 技术 要 素 。 任 何 有 
利于 自动 化 软件 开发 过 程 中 任何 部 分 的 技术 都 是 值得 欢迎 的 ， 但 因为 并 没有 在 选择 工具 或 工 
具 集 的 过 程 中 使 用 合适 的 人 和 过 程 ， 这 个 软件 已 经 成 为 许多 组 织 的 搁置 软件 (shelf-ware)。 在 
这 个 空间 中 不 是 所 有 的 工具 都 是 一 样 的 ， 在 某 些 语言 上 有 些 工 具 表 现 得 更 好 ， 尽 管 其 他 工具 
有 很 大 的 治理 / 风险 / 合 规 性 ( Governance/Risk/Compliance, GRC) 和 度量 分 析 。 在 某 些 情况 
下 ,需要 使 用 多 达 三 个 不 同 的 工具 才能 有 效 实施 。 最 后 ， 需 要 选择 合适 的 工具 ， 需 要 支持 语 
言 、 可 伸缩 、 可 以 嵌入 到 开发 过 程 中 以 及 拥有 最 低 的 误 报 率 。 

.软件 开发 是 一 项 复杂 的 业务 ， 对 于 大 多 数组 织 来 说 ,任何 能 够 使 这 一 过 程 更 加 可 重复 、 

可 预测 并 减少 “摩擦 ”的 举措 都 是 一 个 巨大 的 胜利 。 使 用 静态 分 析 工 具有 很 多 好 处 。 最 重要 
的 原因 有 以 下 几 个 。 


ERHARA PAA 19 





。 静 态 分 析 工 具 可 以 缩短 时 间 。 它 们 可 以 非常 快速 地 评审 大 量 的 代码 ， 这 是 人 类 无 法 做 
到 的 。 
et CAAA RARE. HAS CAPE Ke 2:00 连续 运行 4 个 小 时 和 在 上 班 时 
间 运 行 效果 不 变 。 但 对 于 人 类 评审 者 来 说 ， 效 果 是 不 可 能 一 样 的 。 
。 静 态 分 析 工 具 帮 助 开 发 人 员 了 解 安全 漏洞 。 在 许多 情况 下 ， 可 以 使 用 这 些 工具 和 来 自 
供应 商 的 教育 资源 ， 对 开发 团队 开展 软件 安全 方面 的 教育 。 
2.5.1.3 ”动态 分 析 
动态 程序 分 析 是 指 在 真实 或 者 虚拟 处 理 器 中 运行 程序 的 条 件 下 ， 进 行 计算 机 软件 分 析 的 
方法 。 目 的 是 在 程序 运行 时 找到 程序 的 安全 错误 ， 而 不 是 反复 地 离线 审查 代码 。 通 过 在 设计 
程序 的 所 有 场景 下 调试 它 ， 动 态 分析 避 免 了 人 为 创造 可 能 产生 错误 的 情景 。 它 有 一 个 显著 的 
优势 ， 即 有 能 力 识别 可 能 已 经 漏 报 的 漏洞 ， 以 及 验证 静态 代码 分 析 的 结果 。 
动态 分 析 ， 也 称 为 动态 应 用 安全 测试 (Dynamic Application Security Testing, DAST), fE 
够 确定 应 用 程序 中 的 漏洞 。 这 些 工 具 用 于 快速 地 评估 系统 的 整体 安全 ， 并 使 用 在 SDL 和 
SDLC 中 。 有 关 使 用 静态 分 析 工 具 的 优点 和 注意 事项 同样 适用 于 动态 分 析 工 具 。 一 些 流 行 
的 SAST 供 应 商 的 产品 包括 : Coverity’*', HP Fortify Static Code Analyzer’. IBM Security 
AppScan Source", Klocwork"", Parasoft'”! 和 Veracode" 1， 而 比较 流行 的 DAST 供应 商 的 产 
品 包括 : HP WebInspect'!, QAinspect'*!, IBM Security AppScan Enterprise’, Veracode“” 和 
WhiteHat Sentinel Source™), 
SDL 中 使 用 SAST 和 DAST 工具 的 时 机 是 至 关 重 要 的 ， 并 且 主 要 发 生 在 SDL 的 设计 和 开 
发 阶段 ， 这 将 会 在 本 书后 面 章 节 介 绍 ， 如 图 2-1 所 示 。 


上 一 一 一 一 一 一 SDL 活动 与 最 佳 实 路 。 一 一 一 一 一 | 





设计 与 实现 GRU Asem see Wire T 
R 

-B SDLC 

隐私 性 验证 与 补救 4 


图 2-1 SDL 活动 和 最 佳 实践 中 的 设计 和 开发 (A4) 阶段 


25.2 At 


2.5.2.1 软件 安全 架构 师 

正如 第 1 章 提 到 的 ， 合 格 的 高 级 软件 架构 师 将 会 创造 或 者 破坏 软件 安全 计划 。 在 人 们 面 
前 ， 一 个 有 效 的 软件 安全 计划 最 关键 的 要 素 是 级 别 为 3 和 4 的 高 级 软件 安全 架构 师 。 在 进入 
安全 领域 之 前 ， 他 们 都 拥有 5 ~ 10 年 的 开发 /编码 经 验 ， 还 有 软件 、 网 络 和 Cloud/SaaS 架构 
设计 领域 的 经 验 。 

这 些 都 不 是 IT 安全 中 运行 工具 的 典型 人 员 。 他 们 是 熟悉 开发 、 系 统 架 构 和 安全 的 资深 架 
构 师 。 此 外 ， 他 们 还 必须 有 极 好 的 政治 和 人 际 交 往 能 力 。 他 们 要 接触 SDLC 和 SDL 中 的 每 个 
要 素 ， 他 们 应 该 是 SDLC 过 程 每 个 阶段 审批 过 程 的 一 部 分 ， 并 且 他 们 必须 参与 从 预 提 交 至 后 
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期 发 布 阶段 的 工作 。 他 们 将 会 创造 或 者 打破 软件 安全 实践 ， 并 且 是 其 生存 和 成 功 的 关键 。 高 
级 软件 /应 用 程序 安全 架构 师 在 以 下 几 个 方面 是 至 关 重 要 的 : 处 理 产 品 安全 升级 、 培 训 开发 
团队 成 员 、 提 供 内 部 /外 部 客户 的 反应 以 及 解决 复杂 的 SaaS 和 云 环境 下 的 软件 /应 用 程序 问 
题 。 

区 分 架构 驱动 和 其 他 需求 并 不 简单 ， 因 为 它 需要 全 面 了 解 解决 方案 的 目标 。 软 件 安全 架 
构 是 一 个 一 个 交互 式 过 程 ， 它 涉及 系统 需求 业务 价值 的 评估 和 确定 系统 成 功 最 关键 的 需求 。 
这 些 需 求 包括 : 功能 需求 、 约 束 和 解决 方案 的 行为 特性 ， 所 有 这 些 都 必须 分 类 并 且 指 定 。 因 
为 这 些 关 键 需求 塑造 了 系统 的 设计 ， 它 们 称 为 架构 驱动 。 

安全 架构 师 必须 弄 清 楚 ， 在 架构 层面 ， 如 何 将 必要 的 安全 技术 集成 到 整个 系统 中 。 在 云 
计算 或 SaaS 环境 中 ， 这 包括 网 络 安全 需求 ， 如 防火 墙 、 虚 拟 专用 网 络 等 。 架 构 师 通常 通过 绘 
制 信任 边界 (例如 ， 防 火 墙 之 外 的 网 络 流量 是 不 可 信 的 ， 但 本 地 流量 是 可 信 的 )， 明 确 记录 系 
统 每 一 部 分 的 信任 假设 。 当 然 ， 这 些 边界 必须 反映 业务 需求 。 例 如 ， 高 安全 性 的 应 用 程序 应 
该 不 愿意 相信 任何 未 加 密 的 共享 网 络 介质 。 安 全 需求 应 该 来 自用 户 。 一 位 经 验 丰富 的 软件 安 
全 架构 师 典型 的 工作 描述 可 能 是 这 样 的 。 

软件 安全 架构 师 负 责 提 供 整 个 X 公 司 产 品 安全 的 架构 和 技术 指导 。 产 品 安全 架构 师 将 设 
计 、 计 划 和 实现 安全 编码 实践 和 安全 测试 方法 ; 确保 该 实践 符合 软件 认证 过 程 ; 推动 产品 的 
安全 测试 ; 测试 和 评估 安全 相关 的 工具 ; 管理 第 三 方 供应 商 以 满足 上 述 这 些 责 任 。 具 体 的 角 
色 和 职责 包括 以 下 方面 。 

。 推 动 整体 软件 安全 架构 。 

。 提 供 技术 指导 ， 如 在 全 面 计 划 、 开 发 和 X 公司 软件 安全 努力 的 执行 中 提供 技术 指导 。 

。 与 产品 和 工程 开发 团队 紧密 合作 ， 确 保 产 品 符合 或 超过 用 户 的 安全 和 认证 需求 。 其 中 

包括 确保 安全 架构 具有 良好 的 文档 记录 并 经 过 沟通 。 

。 提 供给 软件 工程 和 产品 开发 过 程 的 计划 与 输入 。 这 里 涉及 安全 ， 并 对 企业 的 约束 和 需 

求 很 敏感 。 

。 监 控 安 全 技术 的 发 展 趋势 和 需求 ， 如 新 技术 下 出 现 的 标准 。 

。 制 定 并 执行 安全 计划 。 这 可 能 包括 管理 与 第 三 方 供应 商 的 合作 开发 ， 并 为 工程 和 测试 

实践 提供 指导 (与 其 他 部 门 一 起 )。 

。 保 证 和 创建 (如 果 需 要 ) 安全 策略 、 过 程 、 实 践 和 操作 ， 确 保 可 重复 开发 和 高 质量 ， 同 

时 控制 成 本 。 

。 从 事实 际 深入 的 软件 分 析 、 评 审 和 设计 ， 包 括 从 安全 角度 来 看 源 代码 的 技术 评审 和 分 

析 。 这 将 会 包括 内 部 开发 代码 和 第 三 方 供应 商 提供 的 技术 评审 。 

。 在 安全 认证 过 程 中 提供 主要 技术 角色 ,包括 准备 大 量 的 文档 和 与 第 三 方 评 佑 合作。 

。 为 员工 、 合 约 商 、 开 发 人 员 、 质 量 保 障 团队 和 与 产品 安全 相关 的 产品 / 软件 安全 拥护 者 

提供 培训 。 

。 指 导 X 公司 软件 开发 团队 通过 面向 SDLC 的 安全 开发 生命 周期 (SDL) 设计 ， 参 与 设计 

评审 、 威 胁 建 模 、 代 码 和 系统 的 深入 安全 渗透 测试 。 把 这 些 职责 延伸 到 提供 应 用 设计 

的 输入 、 安 全 编码 实践 、 日 志 取 证 、 日 志 设 计 和 应 用 代码 。 

软件 安全 架构 师 在 监督 和 培训 软件 安全 拥护 者 方面 是 至 关 重 要 的 ， 软 件 安 全 拥护 者 应 该 
通过 跨 业 务 单元 / 软件 的 安全 教育 和 认 知 计划 来 确定 。 架 构 师 也 将 发 现 和 评估 软件 安全 拥护 
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者 的 候选 人 ， 从 概念 提交 到 后 发 布 阶段 ， 他 们 都 参与 各 种 软件 产品 的 SDL。 
2.5.2.2 ”软件 安全 从 业者 
无 论 是 IT、 硬 件 还 是 软件 ， 公 司 安全 部 门 经 费 供给 在 可 预见 的 未 来 是 很 难 再 有 所 改善 
了 ， 这 意味 着 如 果 想 要 成 功 必须 非常 明智 地 使 用 资源 。 正 如 我 们 前 面 暗示 的 ， 经 验 丰 富 的 软 
件 安全 架构 师 少 之 又 少 ， 在 今天 的 市 场 最 好 的 情况 下 你 不 太 可 能 能 够 找到 并 聘用 数量 较 多 的 
软件 安全 架构 师 。 当 你 看 到 本 书 使 用 SDL 模型 或 者 本 章 前 面 引 用 的 其 他 模型 时 ， 你 可 能 会 问 
自己 : 考虑 到 安全 软件 和 合作 的 开发 团队 将 会 拥有 的 资源 ， 你 该 如 何 扩展 到 这 个 任务 。 答 案 
是 ， 如 果 你 管理 软件 安全 团队 或 者 安全 团队 为 你 工作 ， 你 将 会 招聘 软件 安全 从 业者 〈Software 
Security Champion, SSC) 来 管理 这 项 艰巨 的 任务 。 该 角色 的 候选 者 通常 应 该 具有 至 少 3 ~ 5 
年 的 软件 开发 经 验 ; 愿意 从 事 软 件 安全 工作 或 者 有 相关 的 背景 ， 有 时 间接 受 软件 安全 和 中 央 
软件 安全 团队 工具 、 计 划 和 过 程 的 培训 ; 最 重要 的 是 ， 不 仅 要 知道 如 何 开 发 ( develop/build) 
软件 ， 还 要 了 解 如 何 “ 像 黑客 一 样 思考 ”并 拆 解 ( deconstruct/take it apart) 软件 ， 即 要 综合 
考虑 攻击 者 的 利用 软件 采用 的 所 有 可 能 途径 或 攻击 ( exploit/attack plane)。 每 一 个 产品 开发 组 
织 应 该 至 少 有 一 个 人 拥有 技术 能 力 并 能 被 训练 成 软件 安全 从 业者 ， 并 最 终 作 为 初级 软件 安全 
架构 师 协助 中 央 软 件 安全 团队 进行 架构 安全 分 析 / 威胁 建 模 。 同 样 重要 的 是 ，SSC 是 自愿 的 ， 
不 是 受托 人 ， 和 否则 他 们 可 能 缺乏 在 这 个 非常 挑战 但 有 益 的 角色 上 成 功 的 激情 。 公 司 内 软件 开 
发 的 每 一 个 业务 部 门 应 至 少 有 一 个 SSC ; 对 于 较 大 的 开发 组 织 ， 最 好 是 每 个 业务 部 门 每 一 层 
产品 都 有 一 个 SSC。 一 个 软件 安全 拥护 者 典型 的 工作 描述 如 下 所 示 。 
e SSC 必须 有 至 少 3 ~ 5 年 的 软件 开发 经 验 ; 愿意 从 事 软 件 安全 或 者 有 相关 的 背景 ;有 
时 间接 受 软 件 安全 和 中 央 业 务 单元 特定 的 软件 安全 团队 工具 、 计 划 和 过 程 的 培训 ; 最 
重要 的 是 ,不仅 要 知道 如 何 开 发 软件 ， 还 要 了 人 解 如 何 “ 像 黑客 一 样 思考 ”并 拆 解 软件 ， 
即 考虑 到 攻击 者 利用 软件 采用 的 所 有 可 能 的 途径 或 攻击 。 
。 每 一 个 产品 开发 组 织 应 该 至 少 有 一 个 人 拥有 技术 能 力 并 能 被 训练 成 软件 安全 从 业者 ， 
并 最 终 作 为 初级 软件 安全 架构 师 协助 中 央 软 件 安全 团队 进行 架构 安全 分 析 / 威胁 建 模 。 
理想 情况 下 ， 除 了 面向 技术 的 产品 安全 从 业者 ， 如 果 认 为 有 必要 ， 每 一 个 团队 应 该 有 
一 个 额外 的 产品 安全 从 业者 协助 作为 一 个 变更 代理 (更 多 面向 项 目 /计划 的 个 人 )。 
。 具 体 的 角色 和 职责 包括 以 下 几 个 。 
图 强制 实施 SDL : 协助 中 央 软 件 安全 团队 保证 安全 租户 的 机 密 性 、 完 整 性 和 可 用 性 都 
持续 包含 在 SDL 中 ， 作 为 X SDLC 公司 的 一 部 分 。 
图 评审 : 协助 中 央 软 件 安全 团队 软件 安全 架构 师 构 建 架构 安全 分 析 、 评 审 和 威胁 建 模 。 
图 工具 专家 : 代表 每 一 个 开发 团队 、 产 品 团队 和 /或 业务 单元 中 的 中 央 软 件 安 全 团队 软 
件 安全 工具 专家 (例如, 静态、 动态 分 析 和 模糊 测试 )。 
图 搭配 : 作为 每 一 个 开发 团队 、 产 品 团 队 和 业务 单元 的 中 央 软 件 安全 团队 的 眼睛 、 耳 
RA SIGE o 
图 参加 会 议 : 作为 一 个 全 球 X 公 司 软件 安全 领军 团队 的 成 员 ， 参 加 每 月 的 电话 会 议和 
一 年 两 次 的 面对面 会 议 (在 预算 允许 的 前 提 下 )。 


2.6 最 小 特权 原则 
在 信息 安全 、 计 算 机 科学 以 及 其 他 领域 ,最 小 特权 原则 (the principle of least privilege) 
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规定 ， 在 计算 环境 特定 的 抽象 层 中 ， 每 一 个 模块 (如 过 程 、 用 户 或 程序 ， 取 决 于 主题 ) 仅仅 能 
访问 合法 目的 所 必需 的 信息 和 资源 。™™ 

限制 特权 提升 是 威胁 建 模 的 重要 部 分 ， 其 也 是 SDL 架构 ( A2 ) 阶段 的 一 个 核心 组 成 部 
分 ， 这 将 在 第 4 章 讨论 。 特 权 提 升 的 概念 是 非常 重要 的 ， 它 是 微软 安全 开发 生命 周期 卡片 游 
戏 的 主题 ， 旨 在 培养 开发 人 员 和 安全 专业 人 员 快 速 、 轻 松 地 找到 软件 或 计算 机 系统 的 威胁 。 5 
未 经 授权 的 权限 提升 攻击 利用 程序 错误 或 设计 缺陷 ， 赋 予 攻击 者 访问 网 络 及 其 相关 的 数据 和 
应 用 程序 的 提升 权限 。 这 些 攻击 可 以 是 垂直 的 (攻击 者 赋予 自己 特权 ),， 或 水 平 的 (攻击 者 使 
用 已 经 赋予 的 相同 水 平 的 特权 )， 但 假设 他 拥有 具有 相似 权限 的 另 一 个 用 户 的 身份 。 

确保 最 小 特权 防止 敏感 数据 泄露 ， 并 防止 未 经 授权 的 用 户 访问 程序 或 者 他 们 未 曾 想 要 访 
问 的 区 域 。 软 件 设计 应 遵循 最 小 特权 原则 ， 这 是 软件 发 展 的 一 个 关键 因素 。 限 制 特权 等 级 是 
非常 重要 的 ， 因 为 特权 提升 可 以 导致 攻击 者 获得 超过 授予 一 个 普通 用 户 的 授权 。 例 如 ， 若 拥 
有 普通 用 户 特 权 的 攻击 者 有 “只 读 ” 权 限 ， 则 他 或 许 能 够 破解 软件 进而 提升 权限 以 获得 “ 读 
写 ” 权 限 。 推 动 最 小 权限 要 求 用 户 获得 执行 一 个 特定 任务 所 必需 的 最 小 权限 。 在 SDL/SDLC 
的 设计 阶段 ， 你 需要 确定 执行 工作 所 需 的 特权 最 小 集合 ， 限 制 用 户 登录 到 只 有 这 些 特 权 的 域 
中 。 确 保 最 小 特权 不 仅 包括 用 户 权限 的 限制 ， 还 包括 资源 权限 的 限制 ， 比 如 CPU 限制 、 内 
存 、 网 络 和 文件 系统 权限 。 这 就 要 求 将 权限 授予 一 个 对 象 之 前 满足 多 个 条 件 ， 因 为 仅仅 检查 
一 种 状况 下 的 访问 可 能 无 法 满足 强 安全 性 。 例 如 ， 如 果 攻 击 者 能 够 获得 一 个 特权 ， 但 没有 获 
得 第 二 个 特权 ， 将 会 限制 其 实施 成 功 的 攻击 。 将 软件 隔离 到 需要 多 次 检查 访问 的 单独 组 件 中 ， 
可 以 抑制 攻击 或 者 可 能 阻止 攻击 者 接管 整个 系统 。 访 问 权 限 的 慎重 授权 可 以 限制 攻击 者 成 功 
地 攻击 软件 或 系统 。 资 源 的 最 小 权利 和 访问 应 限于 完成 该 任务 需要 的 最 短 时 间 内 。 


2.7 Bath 


保护 用 户 的 隐私 是 SDL 过 程 的 另 一 个 重要 组 成 部 分 ， 应 被 视 为 SDLC 所 有 阶段 重要 的 系 
统 设计 原则 。 骨 户 隐 私 安 全 出 了 问题 将 导致 信任 危机 。 由 于 在 未 经 授权 访问 的 用 户 越 来 越 多 
的 情况 下 ,个 人 信息 在 媒体 中 公开 ， 在 软件 和 系统 中 使 得 客户 的 数据 得 到 可 靠 保护 的 状况 日 
益 恶 化 。 此 外 ,许多 新 的 隐私 法 律 法 规 强调 了 在 软件 和 系统 的 设计 和 开 的 包含 隐私 的 重要 性 。 
至 于 安全 性 ,已 经 通过 的 软件 开发 生命 周期 的 进度 的 变更 是 成 本 很 高 的 ， 就 是 把 高 成 本 的 隐 
私 保 护 方 法 和 技术 融入 SDLC 的 适当 阶段 ， 以 维护 个 人 的 隐私 ， 并 保护 个 人 身份 信息 (PID) 
的 数据 。 包 含 在 微软 SDL 中 的 一 些 关键 的 隐私 设计 原则 ， 包 括 提供 有 关 数 据 收集 、 存 储 或 者 
共享 的 适当 通知 ， 使 用 户 可 以 对 自己 的 个 人 信息 做 出 明智 的 决策 ; 使 用 户 策略 和 控制 可 用 ; 
最 小 化 数据 收集 和 敏感 性 ; 以 及 存储 保护 和 数据 传送 。 喇 

至 关 重 要 的 是 ， 隐 私 保护 措施 通过 SDL 实现 的 最 佳 实践 构建 到 了 SDLC 中 。 忽 略 用 户 的 
隐私 问题 可 能 会 导致 诉讼 、 媒 体 负面 报道 和 不 信任 。 我 们 已 经 将 隐私 保护 最 佳 实践 方案 部 署 
到 SDL 中 ， 这 将 在 以 后 的 章节 中 详细 叙述 。 


28 度量 标准 的 重要 性 


- Lord Kelvin 曾 说 过 ,“ 如 果 你 不 能 衡量 它 ， 就 不 能 改进 它 。”" 这 句 格言 今天 也 是 如 此 ， 
因为 它 适 用 于 产品 的 安全 性 和 满足 软件 开发 组 织 的 安全 状况 精准 度量 的 需求 。 有 意义 的 安全 
间 标 是 至 关 重 要 的 ， 因 为 企业 要 合作 努力 应 对 监管 和 风险 管理 要 求 ， 用 敏锐 的 证 券 投资 来 加 
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强 安全 预算 ， 把 客户 要 求证 明 的 安全 性 和 私密 性 内 置 到 他 们 的 产品 中 ， 而 不 是 通过 发 布 后 的 
修复 。 i 

指标 跟踪 就 像 是 软件 项 目的 一 个 保险 ， 也 协助 管理 漏洞 防范 。 正 如 我 们 已 经 多 次 指出 ， 
与 在 SDLC 起 源 阶段 检测 出 相同 的 缺陷 相 比 ， 在 SDLC 的 连续 阶段 检测 该 缺陷 的 成 本 是 非常 
高 的 。 在 整个 SDL/SDLC 过 程 中 指标 可 以 跟踪 这 些 成 本 ， 并 对 ROL (回报 率 投资 ) 计算 提供 
显著 帮助 。 如 图 1-1 所 示 ， 在 开发 早期 避免 潜在 的 安全 缺陷 花费 比较 少 ， 尤 其 是 相对 于 开发 
后 期 成 本 10%、20%、50% 甚至 100% 的 增长 。 在 SDLC 的 不 同 阶段 作为 SDL 过 程 的 一 部 分 
修复 缺陷 成 本 的 可 视 表 示 见 图 2-2。 可 以 说 ， 防 止 一 个 或 两 个 缺陷 出 现 对 于 跟踪 的 指标 的 成 本 
是 物 有 所 值 的 。 预 见 的 缺陷 和 纠正 他 们 的 能 力 是 一 个 健康 的 软件 安全 计划 的 一 个 很 好 的 指标 ， 
但 质量 指标 在 整个 SDL/SDLC 过 程 中 可 以 在 管理 和 避免 过 高 补救 成 本 时 有 所 帮助 。 
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图 2-2 在 SDLC 不 同 阶段 (SDL 过 程 的 一 部 分 ) 修复 缺陷 成 本 的 可 视 化 表示 


SDL 的 一 个 目标 是 在 整个 过 程 中 实现 缺陷 多 级 过 滤 过 程 ， 而 不 是 仅仅 包含 单个 活动 或 时 
间 节 点 ， 从 而 使 导致 漏洞 的 剩余 缺陷 最 小 化 。 每 个 缺陷 去 除 活动 可 以 被 看 作 一 个 从 软件 产品 
中 消除 一 定 百分比 缺陷 的 过 滤器 ， 这 些 缺 陷 可 导致 安全 漏洞 。” 在 软件 开发 生命 周期 中 有 越 
多 的 缺陷 去 除 过 滤器 ， 当 软件 产品 发 布 时 ， 其 中 剩余 的 可 导致 安全 漏洞 的 缺陷 将 越 少 。 更 重 
要 的 是 ， 早 期 的 测量 使 组 织 能 够 于 软件 开发 生命 周期 的 早期 采取 纠正 措施 。 每 一 次 缺陷 去 掉 
时 ， 都 会 测量 它们 。 每 个 缺陷 移 除 的 点 都 会 成 为 一 个 检测 的 点 。 缺 陷 度量 比 缺陷 的 移 除 和 预 
防 更 重要 : 它 告 诉 团队 他 们 的 立场 与 目标 ， 帮 助 他 们 决定 是 否 要 转移 到 下 一 个 步 又， 或 停止 
并 采取 纠正 措施 ， 并 指示 如 何 改正 以 满足 他 们 的 目标 ”。 本 书 将 重点 介绍 SDL 模型 中 如 何在 
SDLC 中 筛选 出 缺陷 ， 模 型 的 重要 阶段 S1-S3 见 图 2-3。 

安全 度量 标准 是 可 用 于 评估 一 个 组 织 软 件 安全 计划 有 效 性 的 宝贵 资源 。 有 意义 的 度量 标 
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准 ， 可 用 于 不 断 改进 产品 安全 程序 的 性 能 ,证 明 合 规 性 ， 提 高 管理 和 利益 相关 者 的 安全 意识 
水 平 ， 并 协助 决策 者 提供 资金 的 请 求 。 如 果 没 有 度量 标准 ， 每 个 企业 都 恺 惧 、 不 确定 和 怀疑 
下 管理 其 产品 。 








架构 (S1): 在 发 现 会 议 、 
需求 分 析 、 架 构 安 全 分 
析 、 威 胁 建 模 和 开发 小 
用 案例 中 一 部 分 漏洞 已 
经 被 确认 和 移 除 


设计 和 开发 (S2 ): 在 Sl 
阶段 创建 的 部 分 漏洞 在 


设计 和 开发 (S3 ): 在 
S1 阶段 创建 的 部 分 漏洞 






设计 审查 和 验证 过 程 中 
被 确认 和 移 除 





图 2-3 SDL 阶段 S1 ~ S3: 缺陷 识别 和 修复 过 滤 过 程 


有 意义 的 安全 度量 标准 允许 一 个 组 织 确定 其 安全 控制 的 有 效 性 。 为 了 有 效 地 衡量 一 个 组 
织 的 安全 状况 ， 产 品 的 安全 性 首先 要 保证 适当 的 框架 到 位 ， 以 得 出 有 意义 的 度量 数据 。 这 包 
括 适 合 于 产品 的 安全 治理 模式 、 企 业 的 战略 和 运营 要 求 。 这 样 的 模式 应 该 实现 实用 的 产品 安 
全 政策 和 程序 ， 统 一 部 署 最 佳 做 法 和 措施 ， 并 要 求 在 整个 组 织 强 有 力 地 执行 管理 支持 。 最 佳 
实践 要 求 下 的 安全 性 是 作为 一 个 企业 的 水 平 、 垂 直 和 跨 职 能 管理 整个 组 织 的 模型 。 这 种 模式 
更 适合 于 实现 一 致 的 监测 、 计 量 和 报告 企业 的 产品 安全 状况 。 

对 有 效 测量 的 安全 性 ， 它 必须 得 到 有 效 的 管理 。 当 公司 努力 保护 宝贵 的 信息 资产 和 论证 
基于 风险 的 决策 时 ， 集 中 度量 报告 机 制 对 于 产生 有 意义 的 指标 ， 并 提供 软件 开发 组 织 中 的 产 
品 安 全 状况 的 持续 评估 至 关 重要 。 

我 们 的 方法 将 包含 在 SDL 模型 中 给 出 的 每 一 个 步骤 的 指标 ， 而 不 是 包含 在 单独 的 章节 
中 。 这 将 累积 在 管理 整个 企业 的 软件 安全 程序 中 使 用 SDL 指标 的 讨论 。 


2.9 把 SDL 映射 到 软件 开发 生命 周期 


无 论 你 使 用 何 种 SDL 模式 ， 不 论 它 是 否 已 经 存在 ， 一 个 你 自己 开发 的 或 者 是 两 者 的 结 
合 ， 都 必须 将 其 映射 到 当前 的 SDLC 才能 有 效 。 图 2-4 是 一 个 SDL 活动 和 最 佳 实践 模型 ， 作 
者 已 经 开发 并 将 其 映射 到 典型 的 SDLC 阶段 。 每 一 个 SDL 活动 和 最 佳 实践 基于 现实 世界 的 经 
验 ， 作 者 提供 的 例子 向 读者 表明 安全 可 以 内 置 到 每 一 个 SDLC 阶段 中 一 一 安全 到 SDLC 的 映 
射 。 如 果 安 全 内 置 到 每 一 个 SDLC 阶段 ， 那 么 该 软件 默认 有 和 较 高 的 概率 是 安全 的 ， 后 续 软 件 
的 变化 是 不 太 可 能 危及 到 整体 安全 的 。 这 种 映射 的 另 一 个 好 处 是 ， 你 将 有 可 能 与 SDL 的 拥有 
者 和 的 利益 相关 者 一 起 工作 ， 这 将 有 助 于 在 SDLC 的 操作 和 业务 过 程 中 构建 买 进 、 高 效 和 可 
实现 的 安全 ， 将 可 能 包括 开发 人 员 、 产 品 和 项 目 经 理 、 业 务 经 理 以 及 主管 。 

“后续 章节 将 详细 介绍 SDL 的 每 一 个 阶段 ， 图 2-4 详细 列 出 了 每 一 个 阶段 ， 图 2-5 ~ 图 2-10 
分 别 说 明 。 
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请 注意 ， 不 同 于 已 经 见 过 的 一 些 SDL， 我们 把 发 布 后 的 支持 活动 和 最 佳 实践 列 入 SDL 
中 ， 如 图 2-10 所 示 。 因 为 大 多 数 软件 安全 团队 或 类 似 机 构 ， 特 别 是 那些 中 小 型 公司 ， 没 有 独 
立 的 产品 安全 事件 响应 小 组 ( Product Security Incident Response Team, PSIRT)， 该 团队 专门 致 
力 于 执行 安全 M&A 评估 、 第 三 方 评审 、 发 布 后 认证 、 面 向 云 部 署 的 新 产品 组 合 的 内 部 评审 
或 者 面向 仍 在 使 用 或 即将 重用 的 传统 软件 的 评审 。 这 需要 一 些 盒子 外 面 的 思维 与 一 个 小 团队 
管理 这 一 切 。 本 书后 面 的 章节 将 讨论 利用 经 验 丰富 的 软件 安全 架构 师 、 软 件 安全 拥护 者 、 专 
业 软 件 和 第 三 方 承包 商 来 完成 SDL 的 目标 与 活动 。 


2.10 软件 开发 方法 


本 章 前 面 已 经 讨论 了 各 种 SDLC 模型 ， 并 提供 了 SDL 模型 和 一 般 SDLC 之 间 映 射 关 系 的 
直观 概述 。 应 当 指 出 ， 多 个 软件 开发 方法 在 各 种 SDLC 模型 中 使 用 。 每 一 个 软件 开发 方法 都 
作为 应 用 特定 框架 开发 和 维护 软件 的 基础 ， 不 太 关心 技术 方面 ， 相 反 关 心 创 建 软件 过 程 的 组 
织 方面 。 这 些 开发 方法 主要 是 瀑布 模型 、 敏 捷 及 其 变种 和 衍生 模型 。 瀑 布 模型 是 最 古老 和 最 
知名 的 软件 开发 方法 。 瀑 布 模型 的 显著 特点 是 它 从 需求 按 顺序 循序 渐进 的 过 程 。 尽 管 它们 包 
括 传统 和 新 型 的 软件 开发 实践 的 混合 ,但 是 敏捷 方法 在 行业 中 越 来 越 受 欢迎 。 你 会 发 现 敏捷 、 
传统 瀑布 或 者 两 者 的 混合 体 。 我 们 将 详细 介绍 瀑布 和 敏捷 开发 模式 ， 并 选择 每 一 个 模式 对 应 
的 一 个 或 两 个 变 体 用 于 介绍 软件 开发 方法 。 鉴 于 存在 的 模型 数量 ， 对 于 SDL 模型 不 仅 有 一 个 
通用 模型 ， 还 将 按 第 9 章 的 具体 介绍 进行 操作 。 第 9 章 描 述 了 SDL 模型 应 用 到 一 些 最 流行 的 
软件 开发 模型 中 ， 这 些 模型 你 可 能 会 在 未 来 几 年 接触 到 


2.10.1 瀑布 开发 


瀑布 开发 ( 见 图 2-11 ) 是 较 传统 的 软件 开发 方法 的 别称 。 这 种 方法 通常 高 风险 、 高 成 本 ， 
而 且 比 敏捷 方法 低 效 。 瀑 布 方法 使 用 那些 已 知 的 要 求 ， 下 一 个 阶段 开始 之 前 每 个 阶段 结束 ， 
并 需要 大 量 的 文档 ， 因 为 这 是 在 整个 过 程 中 的 主要 通信 机 制 。 虽 然 大 多 数 开发 组 织 正在 转向 
敏捷 开发 方法 ， 当 需求 得 到 充分 理解 或 不 是 很 复杂 时 ， 依 然 使 用 瀑布 方法 。 使 用 瀑布 方法 ， 
一 且 某 一 阶段 完成 将 不 会 重复 访问 ， 因 此 第 一 次 必须 正确 : 通常 没有 第 二 次 机 会 。 
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虽然 瀑布 开发 方法 有 所 不 同 ， 但 它们 往往 是 类 似 的 ， 即 参与 者 尽量 保持 最 初 的 计划 、 直 


图 2-11 瀑布 软件 开发 方法 
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到 周期 的 晚期 才 有 可 行 软件 ， 假 设 他 们 知道 前 期 的 所 有 事情 ， 通 过 一 个 变更 控制 委员 会 最 小 
化 变化 ( 即 ， 假 设 变 化 是 坏 的 和 可 以 控制 的 )， 给 予 项 目 经 理 Pants PM) 大 部 分 责 
任 ， 优 化 与 进度 和 预算 的 一 臻 性， 通常 采用 弱 控 制 ， 并 且 人 允许 仅 在 完成 时 实现 价值 。 它 们 由 
一 个 以 PM 为 中 心 的 方法 驱动 ， 即 如 果 遵 守 计 划 中 的 过 程 ， 那 么 一 切 工作 将 会 按照 计划 进行 。 
在 今天 的 开发 环境 中 ， 在 前 面 的 句子 中 列 出 的 大 部 分 项 目 被 认为 是 瀑布 方法 的 负面 属性 ， 这 
是 行业 转向 敏捷 开发 方法 的 原因 。 瀑 布 方法 可 以 看 作 一 个 流水 线 方法 ， 当 恰当 地 应 用 于 硬件 
时 它 是 出 色 的 ， 但 就 软件 开发 而 论 ， 它 与 敏捷 方法 相 比 有 缺点 。 

迭代 瀑布 开发 ~ 

迭代 瀑布 开发 模型 ( 见 图 2-12 ) 是 标准 瀑布 模型 的 改进 。 这 种 方法 比 传统 的 瀑布 方法 风 
险 较 小 ， 但 比 敏捷 方法 风险 大 且 效 率 较 低 。 在 迭代 瀑布 方法 中 ， 整 体 项 目 分 为 不 同 的 阶段 ， 
每 一 阶段 采用 传统 的 瀑布 方法 各 自 执 行 。 分 解 较 大 的 项 目 为 较 小 的 可 识别 的 阶段 ， 将 会 导致 
一 个 阶段 对 应 一 个 较 小 的 范围 ， 在 转向 下 一 个 阶段 之 前 ， 根 据 需要 ， 每 一 个 阶段 的 最 终 交 
付 成 果 能 够 被 评审 和 改进 。 因 此 ， 整 体 风险 降低 。 虽 然 迭 代 法 是 传统 瀑布 方法 的 改进 ， 但 是 
在 今天 的 环境 中 ， 你 更 可 能 要 面 对 的 是 敏捷 软件 开发 方法 ， 而 不 是 标准 或 者 迭代 瀑布 方法 。 


ef- 
ponon 
2.10.2 ”敏捷 开发 


图 2-12 ”迭代 瀑布 软件 开发 方法 

敏捷 方法 是 基于 迭代 和 增 量 的 开发 方法 。 需 求 和 解决 方案 通过 自 组 织 、 路 职能 的 团队 之 
间 的 协同 推进 ， 并 且 从 每 一 次 迭代 中 产生 的 解决 方案 在 整个 过 程 中 定期 回顾 和 提炼 。 敏 捷 方 
法 是 一 个 时 间 可 控 的 迭代 方法 ， 有 利于 快速 灵活 地 响应 变化 ， 从 而 鼓励 演进 式 开发 并 交付 ， 
同时 促进 整个 项 目 生 命 周期 中 的 适应 性 计划 、 开 发 、 团 队 合作 、 协 作 和 过 程 适应 性 。 任 务 被 
分 解 成 需要 最 小 计划 的 增 量 。 这 些 和 迭代 称 为 “时 间 盒 ”， 它 可 以 持续 1 ~ 4 周 。 发 布 一 个 产品 
或 多 个 新 功能 可 能 需要 多 次 迭代 。 跨 职能 团队 负责 每 次 迭代 中 所 有 的 软件 开发 功能 ， 包 括 计 
划 、 需 求 分 析 、 设 计 、 编 码 、 单 元 测试 和 验收 测试 。 一 个 敏捷 项 目 通 常 是 跨 职能 的 ， 自 组 织 
团队 与 任何 层次 的 企业 或 个 人 团队 成 员 (自己 决定 如 何 满足 每 一 个 迭代 的 需求 ) 独立 工作 。 这 
使 得 项 目 能 够 快速 适应 变化 并 最 小 化 整体 风险 。 目 标 是 在 每 一 次 迭代 的 结束 ， 有 一 个 可 用 的 
发 布 和 一 个 展示 给 利益 相关 者 的 可 行 产品 。 
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2.10.2.1 Scrum 

Scrum ( 见 图 2-13 ) 是 一 种 迭代 和 增 量 敏捷 软件 开发 方法 ， 用 于 管理 软件 项 目 、 产 品 或 
者 应 用 程序 开发 。Scrum 采用 一 种 经 验方 法 ， 接 受 该 问题 不 能 被 完全 理解 或 定义 ， 而 将 重点 
放 在 最 大 限度 地 提高 团队 的 交付 ， 并 迅速 响应 新 出 现 的 需求 。 这 是 通过 使 用 协同 定位 和 所 有 
学 科 可 以 表示 的 自 组 织 团 队 完 成 的 。 相 较 于 传统 计划 或 预测 的 方法 ， 这 个 概念 有 利于 促进 客 
P (在 项 目 开 发 过 程 中 改变 需求 ) 处 理 生产 的 能 力 。Scrum 开发 的 基本 单元 称 为 一 个 “冲刺 ” 
(spint)， 能 够 持续 一 周到 一 个 月 。 每 个 冲刺 是 时 间 可 控 的 ， 使 产品 的 成 品 部 分 按时 完成 。 这 些 
需求 的 优先 级 列表 是 从 产品 积存 中 衍生 的 ， 如 果 它 们 在 冲刺 过 程 中 没有 完成 ， 它 们 将 被 忽略 
并 返回 产品 积存 中 。 该 团队 演示 了 每 一 个 冲刺 完成 后 的 软件 。Scrum 普遍 接受 的 增值 属性 包 
括 自 适应 计划 的 使 用 ; 它 需 要 第 一 个 冲刺 (通常 为 两 周 ) 早期 可 行 软件 的 反馈 ; 它 强 调 好 的 改 
变 的 最 大 化 ， 如 专注 于 最 大 限度 地 提高 整个 项 目的 学 习 ; 它 把 大 部 分 责任 放 在 小 的 、 专 注 于 
思维 的 适应 性 团队 ,计划 和 重新 计划 自己 的 工作 ; 它 具 有 较 强 的 和 频繁 的 控制 ; 优化 业务 价 
值 、 上 市 时 间 和 质量 ; 支持 较 早 实现 价值 (可 能 在 每 次 冲刺 后 )。 


迭代 1 迭代 2 a3 



























FA 2-13 Scrum 软件 开发 方法 


2.10.2.2 ”精益 开发 

根据 我 们 的 经 验 ， 对 于 那些 已 经 或 者 正在 从 瀑布 方法 中 转变 的 软件 开发 者 来 说 ，Scrum 
是 敏捷 开发 各 种 方法 中 最 有 可 能 遇 到 的 。 精 益 Clean, SUP 2-14 ) 是 男 一 种 日 益 普及 的 方法 ， 
值得 一 说 。 遗 憾 的 是 ， 精 益 有 许多 定义 ， 它 是 一 种 在 很 多 方向 发 展 的 方法 。 虽 然 和 Scrum 类 
似 ， 精 益 也 关注 功能 而 不 是 群 功能 ， 但 精益 将 这 个 想法 更 进一步 ， 即 在 选择 、 计 划 、 开 发 、 
测试 和 部 署 下 一 个 功能 之 前 ， 以 最 简单 的 形式 选择 、 计 划 、 开 发 、 测 试 和 部 署 当 前 功能 。 其 
目的 是 进一步 隔离 个 体 功 能 等 级 的 风险 。 这 种 隔离 的 优点 是 专注 于 尽 可 能 避免 “浪费 "， 除 非 
绝对 必要 或 者 相关 ， 否 则 将 什么 都 不 做 。 基 于 精益 生产 原则 的 概念 ， 精 益 开发 方法 可 以 概括 
为 7 个 基本 “精益 ”原则 : (1 ) 避免 浪费 , (2 ) 增强 学 习 , (3 ) 尽量 推迟 决策 , (4 ) 尽快 交 
付 , (5 ) 授权 团队 , (6 ) RATRE, (7) 着 眼 整 体 。 精 益 开 发 方法 的 关键 要 素 之 一 是 提供 
一 种 着 眼 整 体 的 模型 ， 即 使 开发 人 员 分 散在 多 个 位 置 和 合约 商 中 。 虽 然 社区 中 许多 人 依然 认 
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为 其 和 敏捷 相关 ， 但 精益 软件 开发 方法 已 经 演变 成 一 门 相关 学 科 ， 而 不 是 一 个 特定 的 敏捷 开 


发 方法 。 
计划 | | 计划 | | 计划 
iy 构建 
测试 | | 测试 | | 测试 | | 测试 | | 测试 | | 测试 | | 测试 








2.11 本 章 小 结 


本 章 描述 了 SDL 的 重要 性 和 适用 性 ， 以 及 与 SDLC 的 关系 。 在 整个 讨论 过 程 中 ， 我 们 强 
调 了 模型 、 方 法 、 工 具 、 人 才 和 度量 标准 ， 以 管理 和 克服 实现 软件 安全 的 挑战 。SDL 过 程 包 
E SDL 每 一 个 阶段 的 一 系列 以 安全 为 中 心 的 活动 与 最 佳 实 践 。 这 些 活 动 和 最 佳 实 践 包 括 软 件 
设计 过 程 中 威胁 模型 的 开发 ， 实 现 过 程 中 静态 分 析 代 码 扫描 工具 的 使 用 ， 以 及 代码 审查 、 安 
全 测试 和 度量 标准 的 管理 。 最 后 ， 我 们 讨论 了 把 SDL 映射 到 SDLC 和 各 种 流行 的 软件 方法 ， 
在 第 9 章 中 把 SDL 的 要 素 和 最 佳 实践 应 用 于 这 些 软件 方法 。 下 一 章 将 开始 介绍 SDL 模型 的 
第 一 步 ， 并 展示 SDL 要 素 的 增 量 实现 ， 将 增 量 改进 整体 的 软件 安全 性 。 
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| 第 3 章 


Core Software Security: Security at the Source 


安全 评估 (A1): SDL 活动 与 最 佳 实践 





本 章 将 介绍 安全 开发 生命 周期 (SDL) 的 第 一 个 阶段 。 这 个 阶段 CAL) 称 为 安全 评估 。 我 
们 将 通过 叙述 该 阶段 不 同 的 活动 来 说 明 为 什么 这 个 阶段 如 此 重要 ， 然 后 引领 读者 通过 该 阶段 
了 解 关键 成 功 因 素 、 可 交付 成 果 和 度量 标准 。 

安全 评估 CAL) 是 SDL 的 第 一 个 阶段 (如 图 3-1 所 示 )。 这 是 项 目 团队 识别 产品 风险 及 
所 需 的 SDL 活动 的 短语 ， 在 一 些 SDL 中 它 称 为 发 现 阶段 。 安 全 里 程 碑 和 控制 的 一 个 初始 项 
目 概要 是 ， 开 发 并 集成 到 开发 项 目的 进度 ， 当 发 生变 化 时 可 以 有 适当 的 规划 。 在 这 个 阶段 中 ， 
始终 有 四 项 原则 问题 应 该 得 到 解决 ， 以 确定 需要 什么 来 确保 软件 的 安全 性 : 

1. 软件 满足 客户 任务 的 关键 程度 如 何 ? 

2. 软件 所 必需 的 安全 目标 是 什么 (例如 第 1 章 描述 的 保密 性 、 完 整 性 和 可 用 性 (CIA)) ? 

3. 哪些 法 规 和 政策 是 适用 于 确定 什么 需要 保护 的 ? 

4. 在 给 软件 运行 的 环境 中 又 可 能 存在 什么 威胁 ? 

在 最 初 的 启动 会 议 期 间 ， 所 有 的 利益 相关 者 都 应 该 参与 讨论 、 鉴 定 和 得 到 一 个 关于 安全 
隐私 含义 的 共同 理解 。 最 初 的 这 一 系列 重要 的 安全 里 程 碑 ， 包 括 时 间 框 架 或 者 标志 一 个 安全 
步 又 将 至 的 发 展 触 发 器 ， 在 讨论 中 勾勒 出 令 开 发 人 员 规 划 项 目 中 的 安全 要 求 和 相关 的 约束 。 
这 也 提醒 着 项 目 负责 人 ， 很 多 正在 做 的 决策 存在 安全 隐患 ， 应 当 随 着 项 目 持续 来 适当 权衡 。 
这 些 决 策 也 应 当 包含 所 有 安全 需求 的 资源 的 鉴定 ， 包 括 相 关 法 律 、 条 例 和 标准 。 

隐私 ， 在 过 去 往往 作为 SDL 的 一 部 分 被 忽略 ， 在 评估 这 个 阶段 也 是 如 此 。 隐 私 影响 评估 
(Privacy Impact Assessment，PIA) 程序 评估 软件 中 的 问题 和 与 个 人 身份 确认 信息 有 关 的 隐私 
影响 等 级 ， 并 且 将 在 这 个 阶段 的 发 展 过 程 中 启动 。 


3.1 软件 安全 团队 提早 参与 项 目 


SDLC 通常 有 正式 的 启动 会 议 ， 把 软件 安全 团队 包括 在 内 是 非常 重要 的 ， 以 确保 安全 是 
SDLC 的 重要 元 素 ， 并 内 置 于 整个 过 程 。 现 场 会 议 或 网 络 会 议 给 了 与 会 者 和 利益 相关 者 来 大 
致 认识 和 了 人 解 的 重要 机 会 。 开 发 过 程 的 早期 就 引入 安全 团队 是 启动 风险 辨识 、 规 划 和 减轻 最 
具 成 本 效益 的 方法 。 早 期 识别 与 减轻 安全 漏洞 和 错误 配置 将 降低 安全 控制 实施 和 漏洞 缓解 的 
成 本 ; 提高 强制 安全 控制 所 造成 的 潜在 工程 挑战 的 认识 ; 以 及 识别 共享 的 安全 服务 ， 重 复 安 
全 策略 和 工具 ， 以 降低 开发 成 本 ， 同 时 通过 行 之 有 效 的 方法 和 技术 ， 提 高 安全 性 。 安 全 团队 
的 早期 介入 将 使 开发 人 员 计 划 的 安全 要 求 和 相关 的 约束 加 入 到 项 目 中 。 这 也 提醒 项 目 负责 人 ， 
随 着 项 目的 继续 许多 正在 做 出 的 决定 应 适当 权衡 安全 隐患 。 早 期 的 规划 和 认识 将 通过 适当 的 
风险 管理 规划 ， 节 约 成 本 与 时 间 。 安 全 性 的 讨论 应 作为 项 目的 一 部 分 ， 以 确保 业务 决策 和 风 
险 影 响 到 整体 的 发 展 这 个 观点 成 为 项 目 人 员 间 坚实 的 理解 。™ 
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3.2 ”软件 安全 团队 主持 发 现 会 议 


发 现 会 议 基本 上 是 一 个 SDL 启动 会 议 ， 在 会 上 关键 的 SDLC 利益 相关 者 在 过 程 开 始 时 聚 
在 一 起 ， 使 安全 成 为 内 置 的 而 不 是 附加 的 。 在 发 现 会 议 安全 规划 中 应 包括 筹备 整个 系统 生命 
周期 ， 包 括 关键 安全 里 程 碑 和 可 交付 成 果 以 及 工具 和 技术 的 鉴定 。 特 别 应 考虑 到 可 能 需要 进 
行 采购 的 项 目 ， 比 如 软件 安全 性 测试 和 评估 工具 ， 以 及 第 三 方 软件 安全 架构 师 或 工程 师 潜 在 
的 使 用 可 能 ，( 如 果 需 要 扩充 员工 或 有 客户 要 求 第 三 方 认证 )。 其 他 资源 的 影响 ， 如 主动 测试 、 
认证 以 及 所 需 的 培训 ， 必 须 加 以 考虑 。 整 个 系统 的 每 一 个 安全 注意 事项 应 该 规划 在 一 系列 里 
程 碑 或 安全 会 议 中 。 发 现 会 议 的 成 果 通 常 是 其 对 未 来 活动 的 决定 条 款 ， 这 在 SDL 过 程 中 是 后 
面 的 实际 安全 或 隐私 方面 的 活动 。 项 目 进度 表 应 结合 安全 活动 ， 以 确保 与 时 间 表 和 资源 相关 
的 任何 未 来 决定 有 适当 的 规划 。 所 有 的 会 议 参与 者 和 利益 相关 者 应 该 就 本 次 会 议 的 安全 影响 、 
注意 事项 以 及 对 软件 的 要 求 达成 共识 。 

以 下 四 个 问题 应 在 这 个 阶段 处 理 ， 以 确定 被 开发 软件 所 需要 的 安全 性 控制 : 

1. 此 系统 满足 组 织 的 任务 关键 性 有 多 高 ? 

2. 软件 的 安全 目标 就 机 密 性 、 完 整 性 和 可 用 性 (CIA) 来 讲 是 什么 ? 

3. 什么 法 规 和 政策 是 适用 的 ? 

4. 系统 运行 时 在 环境 中 有 可 能 有 什么 威胁 ? 

发 现 会 议 期 间 的 主要 任务 包括 以 下 内 容 。 

。 制 定安 全 性 里 程 碑 初步 的 项 目 大 纲 ， 这 将 被 集成 到 开发 项 目的 进度 中 ， 并 允许 规划 发 

生 适 当 的 变化 。 

。 确 定安 全 要 求 ， 如 相关 法 律 、 法 规 、 标 准 和 客户 要 求 的 来 源 。 

。 确 定 任何 必要 的 认证 和 认证 要 求 以 及 它们 需要 的 资源 。 

。 找 出 任何 将 需要 的 第 三 方 或 开源 软件 。 

。 确 定 用 于 软件 开发 的 通用 安全 控件 ， 包 括 那些 将 在 SaaS/ 云 环 境 中 使 用 的 软件 或 使 用 多 

个 软件 产品 中 的 更 大 的 解决 方案 中 被 需要 的 控件 。 

。 确 定 战 术 和 战略 (业务) 项 ， 并 定义 所 需 的 安全 性 报告 指定 条 款 。 

。 提 出 关键 的 安全 里 程 碑 的 初步 框架 ， 包 括 时 间 框 架 或 发 展 触发 融 的 安全 步骤 。 

。 定 义 在 SDL/SDLC 过 程 中 支持 安全 所 需 的 核心 软件 安全 小 组 、 软 件 的 安全 冠军 、 开 发 

商 、 隐 私 团队 和 任何 其 他 利益 相关 者 的 安全 责任 。 

。 识 别 和 记录 将 被 使 用 的 软件 安全 设计 、 体 系 结构 和 安全 编码 实践 。 

。 确 定 使 用 的 安全 测试 和 评估 技术 。 i 

。 制定 出 一 个 预先 的 隐私 影响 评估 流程 ， 包 括 确定 信息 的 分 类 和 识别 传输 、 存 储 或 创建 

言 息 ( 例 如 个 人 识别 信息 ) 已 知 的 特殊 处 理 要 求 ， 以 及 任何 隐私 要 求 的 初步 鉴定 。 

。 如 果 可 能 的 话 ， 项 目 工件 ， 如 会 议 纪要 、 简 报 和 角色 标识 应 标准 化 ， 并 提供 给 开发 人 

员 最 大 努力 的 规划 。 这 应 该 是 整个 SDL 中 一 个 持续 的 过 程 。 


3.3 软件 安全 团队 创建 SDL 项 目 计划 


这 实际 上 可 以 被 认为 是 最 初 的 项 目 规划 ， 因 为 正式 的 计划 将 作为 设计 阶段 的 成 果 呈 现 ， 
这 将 在 下 一 章 描 述 。 在 这 个 阶段 ，SDL 的 项 目 计 划 应 基于 发 现 阶段 获得 的 信息 列 出 安全 里 程 
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碑 ， 并 把 它们 集成 到 整个 SDLC 的 时 间 表 中 ， 使 得 变化 发 生 时 有 适当 的 规划 。 在 发 现 阶段 ， 
从 决策 方面 来 说 ， 活 动 可 能 转化 为 安全 活动 遵守 里 程 碑 。 这 个 项 目 计划 整合 了 在 发 现 阶段 反 
映 安 全 性 和 隐私 活动 或 决策 的 初步 时 间 表 这 样 的 安全 预期 的 共识 。 


3.4 ”隐私 影响 评估 计划 启动 


有 许多 隐私 保护 和 管理 方法 。 然 而 ， 在 过 去 ， 隐 私 保护 工具 是 普遍 以 自 组 织 的 方式 应 用 
的 ， 或 者 是 以 零碎 的 方式 解决 眼前 的 问题 ; 通常 在 这 些 问 题解 决 后 发 布 。 正 如 安全 性 ， 在 系 
统 设 计时 把 隐私 作为 次 要 的 考虑 因素 ， 或 者 把 它 作 为 一 个 未 来 探讨 的 问题 处 理 ， 并 不 能 提供 
有 效 的 隐私 保护 。 只 考虑 解决 隐私 问题 的 组 件 ， 而 不 是 通过 一 个 全 面 的 设计 和 实施 将 导致 进 
一 步 的 潜在 隐私 问题 。 隐 私 必 须 是 一 个 基本 的 设计 因素 ， 它 要 集成 到 SDLC 的 各 个 阶段 。 

在 各 种 层次 上 产生 了 越 来 越 多 的 隐私 法 规 ， 州 的 、 联 邦 的 、 国 际 的 ， 都 要 求 对 违法 行为 
做 出 严厉 的 惩罚 。 我 们 没有 用 一 整 章 来 描述 近期 的 或 者 即将 发 布 的 隐私 要 求 以 及 它们 的 潜在 
影响 ， 而 是 显示 所 需要 的 最 佳 实践 ， 以 充分 覆盖 大 多 数 隐 私 、 法 规 和 政策 合 规 性 条 球面 对 的 
问题 。 软 件 程序 被 设计 为 与 用 户 的 计算 机 集成 ， 并 因此 可 能 能 够 访问 和 存储 个 人 信息 。 软 件 
开发 人 员 必 须 遵 守 这 一 涉及 操作 系统 和 它 的 软件 设计 平台 的 指导 方针 与 隐私 政策 。 底 线 是 ， 
当 客 户 委托 公司 敏感 信息 时 ， 每 个 员工 有 义务 保护 这 些 信息 。 至 于 安全 性 ， 信 任 的 客户 的 隐 
私 被 侵犯 有 重大 的 影响 ， 这 反 过 来 会 显著 影响 公司 的 声誉 和 你 开发 的 软件 的 潜在 收入 。 

在 你 开始 开发 一 个 隐私 影响 评估 (Privacy Impact Assessment, PIA) 前 ， 你 将 需要 评估 哪 
些 监管 法 规 或 政策 适用 于 你 正在 开发 的 软件 。 在 某 些 机 型 上 ， 这 就 是 所 谓 的 数据 敏感 性 的 评 
估 。 由 于 大 多 数 开 发 商 没 有 相应 的 法 律 依据 ， 监 管 机 构 一 般 没 有 软件 开发 背景 ， 使 得 理解 法 
规 等 问题 很 艰难 和 令 人 烦恼 。 对 于 开发 者 来 说 ,详细 理解 立法 的 语言 和 所 描述 的 要 求 往 往 是 
非常 困难 的 ， 而 且 这 些 往往 是 不 容易 明确 的 软件 需求 。 为 了 成 功 地 把 法 规 转化 成 符合 要 求 的 ， 
有 必要 聘请 企业 法 律 顾问 和 任何 外 部 法 律 隐私 专家 。 如 果 你 碰巧 有 一 个 首席 隐私 官 (CPO), 
这 个 人 可 能 为 理想 合作 伙伴 ， 他 为 你 提供 的 资源 和 培训 有 助 于 应 对 将 隐私 内 置 到 SDL 和 最 终 
SDLC 中 的 挑战 的 。 

微软 的 《开发 软件 产品 和 服务 隐私 准则 》 中 和 NIST 特别 出 版 物 800-64 修订 版 2 :《 系统 
开发 生命 周期 安全 性 考虑 》 站 是 在 开发 在 SDL 中 一 个 PIA 的 主流 参考 。 你 可 以 使 用 全 部 或 使 
用 一 个 模板 开发 自己 的 PIA。 不 管 你 用 什么 方法 ， 以 下 要 点 都 应 该 包含 在 你 的 PIA 中 。 

。 立 法 摘要 : 从 一 个 开发 者 的 角度 解释 行为 ， 告 诉 你 什么 是 你 需要 知道 的 ， 以 了 解 其 对 

你 的 应 用 程序 开发 的 影响 。 l 
。 所 需 的 工艺 步骤 : 需要 向 相关 的 软件 开发 人 员 解 释 更 深入 的 要 求 。 一 般 来 说 ， 这 部 分 
将 介绍 被 视 为 敏感 的 数据 类 型 ， 以 及 它们 需要 如 何 得 到 保护 。 
。 技 术 和 技巧 : 为 符合 法 律 要 求解 释 策略 和 技术 。 这 些 分 为 五 大 类 : 机 密 性 、 完 整 性 、 
可 用 性 、 审 核 和 日 志 记录 ， 以 及 身份 验证 。 

。 其 他 资源 : 提供 一 些 链接 ， 在 那里 你 可 以 收集 有 关 立 法 的 更 多 信息 。 馈 

PIA 过 程 的 主要 任务 是 确定 系统 要 求 以 及 待 解决 问题 的 初始 定义 。 在 这 个 阶段 产生 的 PIA 
只 是 最 初 的 系统 规格 和 要 求 的 一 个 初步 版 本 ， 旨 在 引导 开发 者 通过 开发 的 早期 阶段 评估 隐私 。 
为 简 音 起见， 我们 只 包含 了 隐私 的 设计 原则 需求 分 析 和 初步 PIA 分 析 的 一 部 分 。 在 其 核心 位 
置 ，PIA 的 这 一 阶段 是 规划 和 归档 ， 以 及 对 软件 使 用 的 个 人 身份 信息 (PIT) 和 个 人 信息 与 包 
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含 或 访问 以 下 内 容 评估 初步 需求 。 

。 利益 相关 者 的 教育 。 所 有 利益 相关 者 应 在 安全 评估 ( Al ) 发 现 和 启动 会 议 中 进行 隐私 
设计 的 4C 教育 (理解 、 意 识 、 控 制 和 同意 )。 架 构 师 和 开发 人 员 应 该 问 他 们 是 否 需 要 
收集 数据 ， 是 否 有 有 效 的 商业 需要 这 样 做 ， 以 及 客户 是 否 支 持 该 软件 的 经 营 守则， 从 
而 为 其 收集 PI, 

。 其 他 软件 的 交互 。 外 部 系统 流程 ， 与 新 软件 交互 的 其 他 系统 及 其 使 用 的 PI， 个 人 信息 
和 系统 的 用 户 交互 。 

e PI 收集 。PII 收集 的 目的 和 要 求 。 

© PI 存储 保留 。 提 出 了 个 人 信息 保留 期 限 及 理由 。 

。 访 问 。 确 定 哪些 实体 可 以 访问 PI 和 个 人 信息 ， 以 及 软件 中 与 责任 /任务 /角色 /数据 
分 离 的 初步 设计 。 

。 隐 私 管理 工具 。 识 别 在 软件 和 解决 方案 中 管理 个 人 信息 可 能 需要 的 隐私 管理 工具 和 系 
统 进 程 。 如 果 软 件 将 是 一 个 基于 SaaS 或 云 的 解决 方案 的 组 成 部 分 ， 这 一 点 尤其 重要 。 

。 安 全 保障 。 将 用 于 保护 PII 和 个 人 信息 的 安全 保障 的 设置 要 求 。 

。 数 据 完整 性 。 确 定 PI 和 个 人 信息 是 及 时 更 新 和 准确 的 。 

。 评估 安全 性 和 私密 性 要 求 之 间 是 否 有 冲突 。 如 果 有 的 话 ， 它 们 需要 在 开发 过 程 的 这 个 
阶段 处 理 和 解决 。 此 步骤 包括 隐私 和 安全 保护 ， 使 得 软件 到 达 要 求 。 

。 应 用 最 小 特权 原则 。 从 本 质 上 讲 ， 这 需要 限制 访问 “ 谁 需要 知道 ”。 访问 用 户 数 据 应 仅 
限于 那些 拥有 合法 的 商业 目的 来 访问 数据 的 人 。 此 外 ， 非 使 用 者 (如 管理 员 或 数据 库 管 
理 员 ) 应 该 只 给 予 达 到 具体 的 商业 目的 所 需要 的 最 小 量 用 户 数 据 的 访问 权限 。 这 必须 包 
括 能 够 访问 数据 的 第 三 方 或 将 其 传递 给 谁 : 他 们 只 应 允许 访问 履行 他 们 的 商业 目的 需 
要 的 特定 数据 。 数 据 保护 配置 包括 保 存 和 销毁 要 求 ， 通 过 合同 协议 通常 需要 第 三 方 
确认 。 

。 网 站 和 Web 服务 。 所 有 面向 外 部 的 网 站 必须 有 一 个 链接 到 每 个 页 面 上 的 隐私 声明 。 
这 包括 弹出 窗口 (用 于 收集 PII) 。 只 要 有 可 能 ， 同 样 的 隐私 声明 应 使 用 一 个 域内 的 所 
有 网 站 。 

。 使 用 cookie。PII 和 标识 符 便于 跟踪 ， 它 们 可 能 存储 在 cookie 中 作为 存储 在 用 户 的 计算 
机 上 的 小 文件 。 它 们 保存 特定 于 客户 端 和 网 站 的 适量 数据 ， 并 且 可 以 通过 Web 服务 需 
或 客户 端 计 算 机 访问 。 使 用 cookie 的 隐私 准则 应 用 于 本 地 存储 的 文本 文件 ， 允 许 一 个 
服务 器 端 连 接 到 存储 和 检索 信息 ， 包 括 HTTP cookie (如 网 页 的 cookie) 和 Flash cookie 
(例如 ， 闪 存 共享 对 象 )。 当 一 个 会 话 cookie 可 以 满足 目的 时 不 能 用 持久 cookie, FFA 
cookie 应 该 在 达到 商业 目的 最 短 的 时 间 内 到 期 。 存 储 在 持久 cookie 的 PI 必须 加 密 。 

e IP 地 址 。 客 户 的 卫 地 址 总 是 与 数据 一 起 作为 通过 网 络 传输 的 通信 协议 的 一 部 分 发 送 。 
在 写作 本 书 时 ， 关 于 IP 地 址 是 否 是 PII， 仍 有 不 少 争 论 和 讨论 。 事 实 上 ， 隐 私 监 管 机 构 
甚至 讨论 这 是 一 个 警告 标志 ， 我 们 也 许 需 要 考虑 在 可 预见 的 未 来 这 些 信 息 会 落 入 PI 的 
类 别 。 如 果 匿 名 是 必需 的 ， 为 了 避免 两 者 之 间 的 相关 性 ， 存 储 相 同 的 PII 与 卫 地 址 应 
该 避免 。 如 果 可 能 的 话 ， 则 IP 地 址 应 该 从 有 效 负载 被 剥离 ， 通 过 限制 数字 的 位 数 ， 减 
少 它 的 灵敏 度 。 也 可 以 在 将 IP 地 址 转换 为 一 个 不 太 精 确 的 位 置 后 丢弃 。 

。 客 户 隐 私 的 通知 。 收 集 用 户 数 据 并 将 其 传输 的 软件 必须 提供 并 发 出 通知 给 客户 。 这 也 
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称 为 披露 通知 ， 且 这 些 通知 必须 告知 用 户 软 件 能 够 收集 的 信息 类 型 以 及 信息 将 如 何 被 
使 用 。 根 据 不 同 的 软件 类 型 ， 需 要 设置 退出 条 款 ， 可 以 让 用 户 选择 隐瞒 茶 些 类 型 的 个 
人 信息 ， 如 果 他 们 想 这 样 做 。 通 知 和 要 求 同 意 的 类 型 取决 于 所 收集 的 用 户 数据 的 类 型 
以 及 它 将 如 何 被 使 用 。 客 户 也 必须 呈现 他 们 是 否 要 共享 此 信息 。 所 有 通知 必须 写 清晰 ， 
易于 阅读 。 有 两 种 类 型 的 通知 : 重要 的 和 可 出 现 的 。“ 重 要 通知 ” 旨 在 抓 住 客户 的 注意 
力 ， 并 邀请 客户 来 考察 当前 的 隐私 设置 ， 详 细 了 解 他 们 的 选择 ， 并 做 出 选择 。“ 可 发 现 
的 通知 ”是 需要 客户 自己 发 现 的 。 这 可 以 通过 在 软件 产品 的 帮助 菜单 中 选择 一 个 隐私 
声明 链接 ， 或 通过 查找 和 阅读 网 站 的 隐私 声明 完成 。 此 通知 通常 包括 将 要 存储 的 数据 
的 类 型 ， 它 将 如 何 被 使 用 ， 它 将 与 谁 共享 ， 它 是 如 何 保 护 的 ， 可 用 用 户 控件 包括 更 新 
过 程 (如 果 PI 的 存储 和 可 复 用 的 )， 以 及 公司 的 联系 信息 。 如 果 你 正在 开发 将 被 其 他 
公司 使 用 的 产品 或 者 作为 原始 设备 制造 商 (OEM)， 客 户 公 司 通 常 有 特定 的 第 三 方 软件 
开发 者 都 必须 包括 的 隐私 声明 。 其 他 公司 可 能 要 求 其 产品 使 用 的 软件 包括 一 份 隐私 声 
明 ， 它 告诉 用 户 他 们 的 信息 不 会 被 出 售 给 其 他 公司 或 公开 展示 。 软 件 开发 人 员 必 须 告 
知 在 隐私 政策 和 通知 中 软件 用 户 个 人 信息 的 方法 。 正 如 本 书后 面 讨论 的 ， 这 可 以 通过 
一 个 有 效 的 SSL 证 书 , 或 者 使 用 其 它 安全 和 加 密 方法 来 完成 。 在 其 他 与 隐私 相关 的 领 
域 ， 监 管 等 方面 的 要 求 是 动态 的 ， 你 应 该 咨询 你 的 隐私 专家 或 律师 为 你 的 软件 给 出 最 
新 的 指导 。 

。 儿 童 的 隐私 。 必 须 慎重 考虑 孩子 的 隐私 ， 因 为 他 们 可 能 缺乏 能 力 去 辨别 暴露 他 们 的 PI 
是 否 可 能 使 他 们 处 于 危险 的 状况 。 随 着 社交 软件 中 出 现 的 协作 和 共享 功能 这 变 得 尤为 
重要 。 家 长 控制 功能 通常 需要 被 添加 到 产品 、 网 站 和 Web 服务 中 ， 以 帮助 保护 儿童 的 
隐私 。 必 须 作 出 特别 努力 ， 以 确保 家 长 保持 对 自己 的 孩子 是 否 可 以 透露 PI 的 控制 权 。 
针对 儿童 和 收集 他 们 的 客户 的 年 龄 提供 网 站 和 Web 服务 方面 有 一 些 隐私 要 求 。 在 这 方 
面 已 经 有 许多 州 、 地 区 和 国际 要 求 已 经 或 即将 出 台 要 求 。 如 果 你 拥有 的 软件 将 属于 这 
个 区 域 ,请 确保 咨询 你 的 隐私 专家 和 企业 法 律 顾问 (或 同等 职位 的 人 员 )。 

。 第 三 方 。 在 评估 你 的 隐私 要 求 时 两 种 类 型 的 第 三 方 必须 予以 考虑 。 一 种 类 型 的 第 三 方 
被 授权 代表 公司 ,使 用 的 资料 均 按 照 该 公司 的 隐私 政策 。 男 一 种 是 独立 第 三 方 ， 遵 循 
自己 的 隐私 惯例 并 且 出 于 自己 目的 使 用 客户 信息 ， 这 需要 一 个 合同 指定 数据 保护 要 求 。 
这 需要 为 客户 提供 是 否 同意 软件 条 款 的 选项 。 如 果 PII 是 通过 被 批准 代表 公司 的 独立 第 
三 方 传递 的 ， 仅 需要 “可 发 现 的 通知 ”。 

。 用 户 控件 。 用 户 控件 使 用 户 能 够 管理 他 们 的 数据 、 控 制 隐私 和 更 改 其 设置 。 这 些 控件 
应 该 是 直观 的 、 容 易 找 到 的 ， 并 可 以 驻 留 在 计算 机 上 、Web 服务 中 ， 或 者 在 移动 设备 
Es 一 个 Web 页 被 用 作 Web 服务 的 隐私 网 站 。 移 动 设备 的 隐私 控件 可 以 在 设备 本 身 
上 ,或 通过 基于 计算 机 的 用 户 界面 ， 或 者 通过 网 站 链接 到 该 设备 。 

。 需 要 在 共享 计算 机 上 使 用 的 软件 隐私 控制 。 家 庭 或 小 型 办 公 室 / 家 庭 办 公 室 (SOHO) 
环境 中 ， 多 个 用 户 共享 软件 很 常见 。 在 这 些 环 境 中 也 收集 或 存储 PI 的 软件 ， 必 须 提供 
哪些 用 户 有 权 访 问 数据 的 控制 。 这 些 控制 可 能 包括 电脑 /文件 /文件 访问 控制 和 文件 权 
限 或 加 密 。 控 制 也 必须 是 默认 设置 ， 而 不 是 可 选项 。 共 享 文件 夹 必 须 被 明确 标注 出 来 
或 者 高 亮 显示 。 

。 协 作 、 分 享 和 社交 软件 隐私 特征 。 这 是 非常 复杂 和 具有 挑战 的 一 个 领域 ， 因 为 其 内 容 


KAGE (Al): SDL ERG REER 41 








可 以 在 一 个 社区 共享 ， 在 某 些 情况 下 ， 还 可 以 与 社区 成 员 、 共 同 朋 友 或 联系 人 共享 。 
支持 这 种 类 型 应 用 程序 的 软件 应 该 提供 控制 和 通知 ， 有 助 于 防止 无 意识 用 户 意 想不到 
的 PI 共享 。 
。 安全。 显然 ,安全 是 本 书 的 主题 ， 也 是 隐私 和 质量 的 一 个 关键 元 素 。 安 全 要 求 将 取决 
于 收集 到 的 用 户 数 据 的 类 型 ， 以 及 是 否 需 要 本 地 存储 、 传 输 和 /或 远程 存储 。 安 全 控制 
和 测量 的 最 终 目 标 是 防止 PII 丢失 、 误 用 、 未 经 授权 的 访问 、 披 露 、 变 更 和 破坏 。 控 制 
和 测量 不 仅 包括 软件 控制 (诸如 访问 控制 、 传 输 和 存储 的 加 密 )， 也 包括 物理 安全 、 灾 
难 恢复 ， 以 及 审计 。 因 为 业务 需要 当 标 准 保护 不 可 行 时 ， 可 能 需要 补偿 控制 ， 如 使 用 
PI 作为 一 个 独特 的 标识 符 ， 或 者 IP 地 址 或 电子 邮件 地 址 用 于 路 由 。 
。 隐私 影 响 评级 。 隐 私 影响 评级 (P1、P2 P3) 是 用 在 微软 SDL 上 的 一 次 实践 。 它 
将 从 隐私 的 角度 测量 软件 的 待 处 理 数据 的 敏感 性 。 部 署 一 个 高 隐私 风险 项 目 所 必需 
步骤 的 提前 意识 ， 可 以 帮助 你 决定 成 本 是 否 具 有 商业 价值 。 隐 私 影响 评级 的 一 般 定 
义 如 下 。 
MP1 高 隐私 风险 。 特 征 、 产 品 、 服 务 商 店 、PII 传输 或 者 错误 报告 ， 通 过 匿名 数据 实 
时 传输 监视 用 户 ， 更 改 设置 或 文件 类 型 关联 ， 或 安装 软件 。 
图 P2 中 隐私 风险 。 影 响 特征 和 产品 或 服务 中 隐私 的 唯一 行为 是 一 次 性 的 、 由 用 户 发 起 
的 ; 匿名 数据 传输 〈 例 如 ， 用户 点 击 一 个 链接 并 访问 该 网 站 )。 
MP3 低 隐 私 风险 。 特 征 、 产 品 或 服务 中 没有 影响 隐私 的 行为 。 没 有 匿名 或 个 人 数据 传 
输 ， 没 有 PI 存储 在 机 器 上 ， 没 有 代表 用 户 改变 设置 ， 且 没有 安装 软件 。 
由 微软 开发 的 风险 评估 问卷 和 风险 评级 体系 ， 有 助 于 在 SDL 中 评估 风险 并 优先 修复 这 些 
风险 。 
综 上 所 述 ，PIA 的 目的 是 提供 一 些 你 正在 开发 的 软件 中 的 细节 信息 ， 如 收集 、 存 储 和 创 
建 的 隐私 信息 来 自 于 哪里 、 达 到 了 什么 程度 。 当 出 现 重大 决策 或 者 建议 使 用 的 软件 和 范围 显 
著 变 化 时 ，PIA 应 该 继续 审查 和 更 新 。 


3.5 安全 评估 (A1 ) 成 功 的 关键 因素 和 度量 标准 


3.5.1 成 功 的 关键 因素 


设 定 成 功 的 标准 在 SDL 的 任何 阶段 都 会 使 其 更 有 效 ， 并 有 助 于 在 事后 了 解 什么 工作 有 帮 
助 而 什么 没有 。 表 3-1 列 出 了 作者 认为 成 功 的 标准 。 然 而 ， 每 个 环境 都 是 不 同 的， 安全 团队 
都 需要 在 自己 的 环境 中 理解 成 功 的 标准 。 


表 3-1 关键 成 功 因 素 


关键 成 功 因素 描 R 
1. 计划 SDL 活动 的 准确 度 所 有 SDL 活动 被 准确 地 识别 
2. 产 品 风险 轮廓 管理 部 门 了 解 开发 产品 的 真实 成 本 
3. 威胁 轮廓 的 准确 度 环境 中 产品 成 功 的 缓解 措施 和 对 策 很 到 位 
4. 有 关 规定 、 认 证 和 法 规 遵从 框架 的 覆盖 所 有 适用 的 法 律 和 法 规 遵从 方面 都 被 覆盖 


5. 软件 所 需 安全 目标 的 覆盖 “必须 有 ”的 安全 目标 需要 满足 
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成 功 因素 一 : 计划 SDL 活动 的 准确 度 

该 安全 评估 CAL) 阶段 是 SDL 的 第 一 阶段 ， 因 此 大 多 数 都 是 自然 而 然 发 现 的 。 它 规定 未 
来 的 SDL 活动 的 基调 和 方向 。 正 是 在 这 个 阶段 所 需要 的 SDL 活动 决定 什么 重点 应 放 在 每 个 
SDL 活动 (代码 审查 、 威 胁 建 模 等 ) 中 。 虽 然 人 们 总 是 可 以 修正 方向 后 再 确定 SDL 的 活动 和 
它们 的 重要 性 ， 但 这 一 阶段 成 功 的 关键 措施 都 是 为 了 最 初 的 需求 和 SDL 的 方向 。 虽 然 这 是 无 
法 衡量 的 开始 ， 但 是 一 旦 SDL 周期 完成 后 ， 应 该 回 到 最 初 的 规划 文件 。 这 将 有 助 于 更 准确 地 
估计 未 来 的 SDL 活动 。 

成 功 因素 二 : 产品 风险 轮廓 

另 一 个 关键 的 成 功 因素 是 产品 风险 轮廓 。 基 于 软件 及 其 对 客户 (及 其 在 客户 环境 中 使 用 ) 
的 重要 性 ， 通 过 软件 处 理 的 数据 ， 以 及 有 关 法 规 及 目标 市 场 /国家 ， 对 一 个 产品 的 基本 风险 
状况 可 以 有 所 准备 。 风 险 轮 廓 应 包括 产生 于 顾客 的 期 望 和 产品 使 用 的 风险 ， 监 管 服从 上 的 风 
险 ， 以 及 以 迎合 不 同市 场 需 要 的 安全 性 变更 的 风险 。 这 也 将 有 助 于 阐明 真正 的 管理 成 本 。 

成 功 因 素 三 : 威胁 轮廓 的 准确 度 

软件 开发 没有 充分 考虑 它 的 预定 使 用 或 其 将 运作 的 环境 的 情况 十 分 常见 。 虽 然 产品 可 以 
用 于 某 些 特定 用 途 ， 但 客户 经 常 自 行 添加 增强 功能 ， 并 且 通 过 那些 之 前 没有 充分 想 过 的 方式 
使 用 。 另 一 个 例子 是 向 公众 公开 的 API。 在 大 多 数 情 况 下 ，API 的 暴露 增加 了 一 段 时 间 的 危险 
(软件 发 布 后 )。 然 而 ， 暴 露 这 些 API 的 所 需要 考虑 的 威胁 轮廓 并 不 总 是 被 考虑 或 正确 地 考虑 。 
男 一 些 情况 是 ， 软 件 依赖 在 定义 产品 的 威胁 状况 时 没有 考虑 的 开源 软件 (或 闭 源 代码 )。 

因此 ， 这 一 阶段 关键 的 成 功 因 素 是 威胁 状况 的 准确 性 。 该 威胁 轮廓 应 该 不 仅 涵盖 感知 的 
用 例 ， 还 应 该 依赖 其 他 产品 或 软件 研究 客户 集成 与 安全 风险 。 

成 功 因素 四 : 有 关 规 定 、 认 证 和 法 规 遵从 框架 的 履 姜 

这 一 阶段 成 功 的 一 个 关键 标准 是 ， 所 有 主要 法 规 、 遵 从 框架 ， 以 及 产品 (或 库 ) 的 鉴定 是 
否 被 认证 。 这 一 成 功 因 素 取决 于 了 解 产品 的 目标 和 客户 使 用 情况 。 人 们 可 以 很 容易 地 认为 某 
些 规 定 将 不 适用 ， 因 为 它们 的 用 例 不 被 视 为 有 效 。 但 是 客户 往往 有 不 同 的 看 法 。 从 一 个 视点 
来 看 ， 客 户 用 一 个 云 产 品 来 与 其 他 客户 进行 交互 可 能 不 会 需要 符合 HIPAA。 然 而 ， 对 于 另 一 
个 顾客 ， 关 键 的 是 ， 该 产品 如 果 不 符合 HIPAA ， 至 少 不 会 产生 可 能 导致 的 问题 。 

遵从 框架 是 另 一 件 值 得 注意 的 事 。 这 取决 于 不 同 的 产品 如 何 使 用 (在 内 部 或 云 中 )， 以 及 
客户 预期 的 不 同 排列 。 如 果 客 户 打算 通过 ISO 27001 认证 ， 并 在 云 环境 中 使 用 你 的 产品 ， 他 
们 会 期 望 一 个 显而易见 且 可 核查 的 业务 和 产品 安全 态势 。 如 果 客 户 使 用 信用 卡 支付 您 的 服务 ， 
不 仅 他 们 而 且 你 的 环境 可 能 处 于 支付 卡 行业 准则 规定 的 监管 下 。 虽 然 我 们 注重 产品 的 安全 性 ， 
但 是 运营 安全 也 同样 重要 。 

最 后 ， 许 多 情况 下 ,在 涵盖 法 规 、 遵 从 框架 和 认证 时 ， 安 全 和 开发 团队 没有 仔细 考虑 依 
赖 情况 。 例 如 ， 如 果 产 品 是 需要 符合 联邦 信息 处 理 标准 (FIPS) 的 ， 使 用 一 个 开放 源码 库 怎么 
会 影响 合 规 性 ? 如 果 产 品 需要 获得 A 级 认证 ， 依 赖 于 它 的 软件 会 创造 还 是 打破 这 种 认证 ? 这 
些 问题 都 需要 仔细 考虑 ， 以 防止 未 来 的 安全 问题 。 

RARER: 软件 所 需 安全 目标 的 覆盖 
. 最后， 我们 应 该 看 有 多 少 个 安全 目标 在 这 个 结束 阶段 最 终 被 实现 了 。 如 果 有 些 目标 没有 
实现 ， 为 什么 呢 ? 一 开始 可 能 有 一 个 安全 目标 清单 ， 但 是 它们 经 常 与 其 他 产品 功能 竞争 ， 产 
品 管理 可 能 使 它们 落空 。 一 个 例子 可 能 是 日 志 。 如 果 关 键 的 安全 目标 之 一 是 在 威胁 发 生 时 探 


测 和 应 对 它们 ， 有 一 件 事 可 以 帮助 做 到 的 就 是 日 志 。 但 是 ， 记 录 (和 安全 记录 ) 的 可 行 性 可 能 
会 与 其 他 要 求 (运营 效率 、 其 他 产品 功能 ) 矛盾 。 人 们 可 以 通过 对 日 志 进 行 加 密 ， 安 全 地 运送 
它们 到 一 个 中 央 存储 库 来 安全 地 坚持 日 志 记录 事件 。 但 是 ， 根 据 资源 和 其 他 竞争 性 需求 ， 像 
日 志 记 录 这 样 的 功能 可 能 不 会 最 终 实 现 。 

结束 本 阶段 前 ， 看 是 否 有 任何 安全 目标 的 没有 被 完全 满足 是 一 个 好 方法 ; 如 果 没有 ， 确 
定 这 些 目 标 是 必须 实现 的 ， 还 是 最 好 实现 的 。 这 方面 的 知识 将 有 助 于 未 来 产品 的 SDL 周期 。 
有 太 多 的 “最 好 实现 ”实际 上 可 能 破坏 安全 团队 的 公信 力 。 
3.5.2 ”可 交付 成 果 

在 每 一 个 SDL 阶段 ， 我 们 将 概述 该 阶段 可 交付 成 果 的 关键 集 。 这 样 做 是 为 了 确保 所 有 必 
需 的 活动 有 一 个 有 形 的 记录 结果 。 我 们 常常 看 到 创建 并 保存 一 个 项 目 管理 团队 只 是 口头 或 非 
官方 的 文件 。 我 们 认为 ， 正 式 文件 应 建立 并 保存 在 一 个 中 央 存 储 库 ， 并 且 有 适当 的 签名 和 版 
本 控制 。 

表 3-2 列 出 了 Al 阶段 关键 的 可 交付 成 果 。 

表 3-2 A1 阶段 可 交付 成 果 


可 交付 成 果 目 标 
产品 风险 轮廓 预 估 产 品 的 真实 成 本 
SDL 项 目 概 述 将 SDL 映射 到 开发 进度 
适用 的 法 律 和 法 规 在 适用 法 律 下 获得 利益 相关 者 的 正式 批准 
威胁 轮廓 引导 SDL 活动 以 减轻 威胁 
认证 要 求 列 出 产品 和 业务 认证 的 要 求 
第 三 方 软件 列表 识别 第 三 方 软件 的 依赖 
度量 标准 模板 建立 定期 向 主管 汇报 的 节奏 


© 产品 风险 轮廓 。 产 品 风险 轮廓 帮助 管理 层 从 不 同 的 角度 看 产品 的 真实 成 本 ,包括 在 不 
同 的 市 场 和 债务 下 出 售 它 (如 果 它 是 SaaS/ 云 产 品 ， 可 能 会 导致 这 种 状况 )。 

SDL 项 目 概 述 (针对 安全 里 程 碑 和 映射 到 开发 进度 )。 这 个 阶段 的 一 个 重要 结果 是 SDL 

项 目 概 述 或 计划 。SDL 计划 应 该 包括 映射 到 开发 计划 / 进度 的 安全 性 里 程 碑 ， 它 们 需要 
在 每 个 阶段 得 到 满足 。 应 建立 报告 以 跟踪 该 项 目 进展 情况 。 

适用 的 法 律 和 法 规 。 这 个 可 交付 成 果 是 可 能 适用 于 产品 的 法 律 和 法 规 全 面 审 查 。 法 律 
部 门 应 当 积 极 参与 编写 本 文档 ， 并 清楚 地 阐明 法 律 /法规 不 适用 的 内 容 ， 以 及 为 什么 这 

些 不 适用 。 

威胁 轮廓 。 此 可 交付 成 果 阐 明 关 于 该 产品 将 经 营 环境 和 在 环境 中 的 潜在 威胁 的 假设 。 
这 将 有 利于 在 后 期 集中 我 们 的 SDL 活动 ， 以 确保 该 产品 是 在 该 威胁 轮廓 下 由 团队 尽 
可 能 安全 地 开发 的 。 它 也 将 对 事后 分 析 非 常 有 用 ， 以 防 我 们 错过 了 SDL 阶段 的 威胁 
场景 。 

。 认 证 要 求 。 此 可 交付 成 果 应 明确 说 明 所 需 的 产品 (例如 ，FIPS) 和 由 此 产生 的 需求 。 在 
SaaS/ 云 软件 的 情况 下 ， 应 确定 将 需要 通过 各 种 框架 进行 认证 的 软件 的 操作 控制 。 

。 第 三 方 软件 列表 。 这 份 名 单 用 于 找 出 所 有 将 在 我 们 的 软件 中 使 用 的 第 三 方 组 件 ， 从 而 
将 其 纳入 我 们 的 威胁 状况 。 它 也 应 该 帮助 我 们 完成 所 需要 的 认证 更 改 /需求 清单 。 





。 度 量 标准 模板 。 该 可 交付 成 果 是 我 们 计划 定期 向 管理 层 报 告 的 度量 标准 模板 。 
3.5.3 ”度量 标准 


在 SDL 模型 中 ， 我 们 提出 在 每 一 个 阶段 应 该 衡量 的 指标 。 但 是 首先 我 们 想 指 出 在 我 们 的 
职业 范畴 内 我 们 已 经 了 解 到 的 几 件 事 情 。 

我 们 要 决定 前 期 用 什么 来 衡量 并 尽量 遵循 这 些 决策 。 虽 然 我 们 明白 ， 我 们 可 能 需要 随时 
时 间 修 改 指标 ， 但 我 们 应 该 抵制 时 不 时 地 检修 指标 的 诱惑 。 该 指标 模板 应 与 受众 心目 中 的 放 
在 一 起 。 然 而 ， 随 着 项 目的 进展 , 行政 人 员 之 间 有 一 种 倾向 ， 即 要 求 一 组 不 同 的 指标 。 我 们 
应 该 努力 去 使 行政 人 员 了 解 指 标的 选择 和 它们 的 重要 性 。 通 常 ， 应 该 关注 与 指标 相互 矛盾 的 
建议 。 概 括 地 说 ， 确 定 一 组 适合 于 你 的 受众 的 指标 ， 并 坚持 下 去 。 从 长 远 来 看 ， 指 标 将 为 你 
提供 整体 进展 情况 ， 因 此 无 论 选 择 哪 一 组 指标 ， 它 都 会 满足 你 的 需要 。 

下 面 是 有 关 这 一 阶段 度量 标准 的 一 些 建议 : 

。 软 件 安全 团队 循环 的 时 间 (单位 : 周 ) 

。 参 加 SDL 的 利益 相关 者 的 百分比 

© SDL 活动 映射 到 开发 活动 的 百分比 

。 安 全 目标 满足 的 百分比 


3.6 ”本 章 小 结 


我 们 已 经 描述 了 在 SDL/ SDLC 过 程 的 最 开始 解决 安全 和 隐私 的 重要 性 与 最 佳 做 法 。 到 
现在 为 止 ， 应 该 明确 安全 和 隐私 是 得 到 一 个 安全 的 软件 开发 过 程 基 本 层面 的 要 求 ， 定 义 这 两 
个 领域 的 最 佳 时 间 即 在 本 章 中 所 描述 的 最 初 规划 阶段 。 定 义 和 建 立 这 些 要 求 使 团队 能 够 识别 
关键 的 里 程 碑 ， 并 能 以 对 计划 和 进度 干扰 最 小 的 方式 将 安全 和 隐私 集成 到 软件 中 。 识 别 SDL/ 
SDLC 的 关键 利益 相关 者 和 安全 角色 ， 评 估 和 规范 软件 运行 在 计划 的 运行 环境 中 所 需 的 最 低 
安全 和 隐私 要 求 ， 总 体 的 SDL 运行 计划 ， 商 定 的 安全 漏洞 识别 / 整治 工作 的 鉴定 项 目 跟 踪 系 
统 ， 是 本 章 所 描述 的 安全 评估 CAL) 阶段 的 关键 要 素 。 但 应 该 明确 安全 和 隐私 风险 评估 是 一 
个 SDL 的 强制 组 成 部 分 。 这 些 都 是 在 定义 软件 功能 时 的 关键 要 素 ， 该 软件 在 开发 过 程 后 期 需 
要 更 深 的 审查 。 

本 章 最 后 讨论 了 关键 成 功 因 素 及 甚 重要 性 ， 这 一 阶段 的 可 交付 成 果 ， 以 及 应 该 从 这 个 阶 
段 收 集 的 指标 。 

本 章 讨 论 的 最 佳 做 法 将 作为 SDL 模型 后 续 阶 段 的 基础 和 基线 。 下 一 阶段 一 一 体系 结构 
(A2 ) 将 在 第 4 章 继 续 讨论 。 


参考 文献 


. Kissel, R., et al. (2008), U.S. Department of Commerce, NIST Special Publication 
800-64 Revision 2: Security Considerations in the System Development Life Cycle. 
Retrieved from http://csrc.nist.gov/publications/nistpubs/800-64-Rev2/SP800- 
64-Revision2. pdf. 

. Microsoft Corporation (2008), Privacy Guidelines for Developing Software Products 
and Services, Version 3.1. Retrieved from www.microsoft.com/en-us/download/ 
details.aspx?id=16048. 


— 


N 


KATE (Al): SDL FHS REL 





. Kissel, R., et al. (2008), U.S. Department of Commerce, NIST Special Publication 
800-64 Revision 2: Security Considerations in the System Development Life Cycle. 
Retrieved from http://csrc.nist.gov/publications/nistpubs/800-64-Rev2/SP800- 
64-Revision2.pdf. 

. Security Innovation, Inc. (2006), Regulatory Compliance Demystified: An 
Introduction to Compliance for Developers. Retrieved from http://msdn.microsoft. 
com/en-us/library/aa480484.aspx. 

. Microsoft Corporation (2012), “Appendix C: SDL Privacy Questionnaire.” 
Retrieved from http://msdn.microsoft.com/en-us/library/windows/desktop/cc307 
393.aspx. 


45 


第 4 童 | 


Core Software Security: Security at the Source 


架构 (A2): SDL 活动 与 最 佳 实践 





在 安全 开发 生命 周期 的 第 2 阶段 ， 安 全 方面 的 考虑 被 带 入 软件 开发 生命 周期 ， 以 确保 所 
有 的 威胁 、 要 求 、 功 能 和 集成 方面 的 潜在 制约 因素 均 被 考虑 到 (如 图 4-1 所 示 )。 在 SDL 的 
这 个 阶段 ， 安 全 性 更 多 的 是 看 商业 风险 方面 ， 包 括 软件 安全 团队 的 投入 和 主要 利益 相关 者 在 
SDLC 的 讨论 。 商 业 需求 在 安全 性 方面 被 定义 为 保密 性 、 完 整 性 和 可 用 性 ， 并 且 需 要 讨论 创 
造 、 传 输 和 个 人 身份 信息 (Personally Identifiable Information, PII) 的 隐私 控制 。SDL 策略 和 
其 他 安全 或 者 隐私 遵从 的 要 求 也 在 SDL 的 这 一 阶段 确定 。 这 保证 了 安全 和 隐私 讨论 扮演 了 
SDLC 的 一 部 分 ， 而 不 是 与 其 分 开 ， 因 此 项 目 人 员 会 对 整体 开发 项 目的 商业 决定 和 它们 风险 
的 影响 有 扎实 的 理解 。 开 发 的 成 本 分 析 、 商 业 需 求 的 安全 和 隐私 一 致 性 所 需 的 支持 成 本 也 是 
需求 分 析 中 的 一 部 分 。 如 前 所 述 ， 计 划 和 先前 对 SDLC 中 安全 、 隐 私 和 风险 管理 的 认 知 ， 通 
过 在 SDL 中 的 正确 使 用 ， 可 以 显著 节约 成 本 和 时 间 。 

从 这 个 阶段 开始 也 许 是 SDL 中 最 重要 、 最 复杂 和 最 困难 的 部 分 。 如 前 所 述 ， 威 胁 建 模 和 
体系 结构 的 安全 分 析 通 常 需要 高 级 软件 安全 架构 师 ， 并 要 求 对 SDL 中 的 任务 具有 最 丰富 的 经 
验 和 专业 知识 。 幸 运 的 是 ， 当 前 可 用 的 或 正在 开发 的 过 程 中 的 工具 可 以 在 此 阶段 使 用 ， 这 些 
工具 还 能 够 帮助 利用 和 缩放 技能 集合 ， 这 通常 是 软件 安全 团队 的 限制 资源 。 

关键 的 开发 者 可 能 需要 额外 的 安全 培训 ， 以 了 解 他 们 产品 当前 的 威胁 和 潜在 的 风险 ， 
同时 培训 安全 设计 和 编码 技术 ， 具 体 来 讲 就 是 正在 开发 的 系统 以 及 与 其 交互 的 软件 ， 这 
些 风 险 和 威胁 都 将 在 SDL 的 这 一 阶段 被 确定 。 这 使 得 开发 人 员 能 够 更 有 效 地 与 软件 安全 
架构 师 和 软件 安全 组 的 其 他 人 创建 更 安全 的 设计 ,使 他 们 能 够 在 开发 过 程 的 早期 解决 关 
键 问题 。 


4.1 A2 策略 一 致 性 分 析 


软件 的 安全 策略 的 目的 是 确定 哪些 需要 加 以 保护 以 及 它 如 何 受到 保护 ， 包 括 审 查 和 结合 
SDL 外 可 能 会 影响 开发 进程 的 策略 。 这 些 措 施 可 能 包括 治理 软件 或 开发 或 应 用 在 组 织 中 的 任 
何 地 方 的 策略 。 在 这 个 阶段 ，SDL 的 策略 域外 存在 的 任何 策略 都 将 被 审阅 。 企 业 安全 与 隐私 
策略 可 能 会 指示 设计 和 开发 人 员 必 须 有 什么 样 的 安全 和 隐私 功能 及 它们 该 如 何 实现 。 其 他 策 
略 可 能 包括 那些 支配 使 用 第 三 方 和 开源 软件 或 组 织 内 部 和 外 部 的 保障 与 控制 源 代 码 以 及 其 他 
知识 产权 。 假 设 软件 安全 组 独立 于 集中 信息 安全 组 ， 重 要 的 是 ， 这 两 个 群体 就 涉及 开发 和 发 
布 后 后 的 安全 支持 及 从 该 组 织 的 软件 响应 所 有 的 策略 和 指导 方针 进行 合作 。 同 样 重要 的 是 与 
公司 的 保密 功能 进行 协作 ， 无 论 是 集中 组 还 是 外 部 法 律 顾问 。 
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4.2 SDL 策略 评估 和 范围 界定 


SDL 还 提供 了 一 个 非常 宝贵 的 指南 为 软件 开发 人 员 设 置 其 组 织 的 安全 标准 ， 应 该 提供 一 
个 实现 路 线 图 而 无 需 中 断 生产 高 质量 软件 应 用 的 核心 业务 。 除 非 开 发 组 织 和 管理 团队 的 高 层 
领导 支持 这 种 模式 ， 和 否则 SDL 可 能 会 失败 。 它 必须 由 签订 、 出 台 的 政策 来 驱动 ， 并 最 好 由 
CEO 和 软件 开发 管理 团队 提供 支持 。 一 个 组 织 本 应 该 有 一 个 书面 的 和 可 重复 的 SDL 的 策略 与 
方针 ， 以 支持 SDLC， 其 中 包括 其 业务 需求 ， 并 作为 它 支 持 的 工程 和 开发 文化 的 补充 。 该 组 
织 的 文化 和 成 熟 度 在 SDL 策略 的 制定 中 是 非常 重要 的 ， 这 样 可 以 确保 它 会 同时 实现 可 行 性 和 
实用 性 。 管 理 风 格 、 人 员 、 流 程 和 技术 需求 (包括 产品 的 整体 架构 ) 的 复杂 性 ， 将 有 助 于 确定 
怎样 的 粒状 或 目标 来 作为 重点 指导 方针 。 外 包 开 发 量 ， 如 果 有 的 话 ， 也 需要 作为 这 个 过 程 的 
一 部 分 被 评估 。 一 个 内 部 的 开发 团队 需要 更 详细 的 程序 ， 而 一 个 外 包 功 能 将 需要 更 多 的 合同 
对 象 、 服 务 水 平 ， 以 及 详细 的 可 交付 物 。 这 些 漏洞 以 及 利用 外 包 资 源 开发 的 风险 将 在 本 书后 
面 讨 论 。 


4.3 威胁 建 模 / 架构 安全 性 分 析 


4.3.1 威胁 建 模 


如 前 所 述 ， 威 胁 建 模 需 要 一 套 特殊 的 技能 、 经 验 和 心态 团队 内 的 人 不 论 是 谁 做 这 个 一 
定 要 像 对 手 一 样 思考 。 资 深 软 件 安全 架构 师 或 更 丰富 的 软件 安全 冠军 之 一 通常 深 说 这 个 方面 。 
参与 这 个 过 程 的 开发 者 或 团队 成 员 不 仅 必 须要 懂得 怎样 开发 软件 ， 而 且 要 了 解 如 何 解构 或 拆 
印 软 件 及 其 架构 ， 同 时 像 对 手 一 样 思考 。 

微软 首次 于 1999 年 记载 了 威胁 建 模 方法 ， 自 那 时 以 来 ， 它 的 方法 已 经 发 展 成 为 一 个 行业 
标准 '。 当 然 ， 这 不 是 微软 第 一 次 由 人 来 威胁 建 模 ， 而 是 第 一 次 将 方法 形式 化 或 视 为 一 个 抽象 
的 工程 活动 。 威 胁 的 风险 建 模 过 程 有 五 个 步骤 ， 列 举 如 下 ， 并 在 图 4-2 中 显示 。 它 们 是 : 

1. 确定 安全 目标 

2. 调查 应 用 程序 

3. 分 解 它 

4. 识别 威胁 

5. 确定 漏洞 

下 面 的 这 五 个 步骤 将 帮助 你 了 解 你 所 需要 保护 的 资产 ， 需 要 从 哪里 保护 它们 ， 如 何 保护 
它们 ， 什 么 是 实现 优先 级 ， 你 将 不 得 不 忍受 什么 风险 (如果 几 个 威胁 不 包括 在 实施 范围 内 )。 

威胁 建 模 的 重点 不 应 该 是 单纯 的 软件 产品 本 身 ， 而 应 包括 企业 的 环境 和 用 户 。 实 现 优先 
级 可 以 被 限制 在 完成 威胁 建 模 、 分 析 和 体系 结构 安全 风险 分 析 之 后 的 软件 产品 本 身 。 早 些 在 
过 程 中 建立 安全 性 不 仅 可 以 实现 成 本 的 节约 ， 另 一 个 优点 是 考虑 到 业务 、 用 户 需求 和 要 求 ， 
你 可 以 平衡 成 本 效益 、 提 升 产品 竞争 力 、 添 加 必要 的 安全 和 隐私 控制 ， 在 此 基础 上 做 出 安全 
的 决策 。 

用 户 上 下 文 不 仅 影 响 威胁 和 漏洞 的 范围 ， 它 也 可 能 强烈 影响 有 关 实 现 的 优先 级 。 举 例 来 
说 ， 如 果 你 在 你 的 主机 环境 中 存储 了 客户 的 信用 卡 数 据 ， 那 么 数据 被 窃 的 威胁 ， 更 多 来 自 内 
部 支持 人 员 或 雇员 ， 而 不 是 未 知 社区 的 外 部 攻击 。 从 实际 威胁 建 模 的 角度 来 看 ， 某 些 情况 下 
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应 该 关注 以 该 用 户 为 中 心 的 视图 ， 考 虑 你 的 软件 产品 的 授权 用 户 可 以 访问 的 任何 可 能 性 ; 是 
否 有 同一 个 未 经 授权 的 用 户 可 以 升 高 自己 特权 的 可 能 性 ; 而 已 经 授权 或 未 经 授权 的 用 户 是 否 
可 以 访问 管理 功能 或 提供 直接 访问 后 端 数 据 库 的 内 容 ， 然 后 滥用 授权 。 其 中 一 个 最 坏 的 情况 
是 ,一 个 未 经 授权 的 用 户 可 能 危及 Web/ 前 端 服务 器 并 获取 服务 器 上 可 用 的 所 有 资源 升级 特 
权 ; 这 将 提供 利用 信任 关系 获得 对 重要 信息 未 经 授权 的 访问 能 力 ， 通 过 进入 /事件 日 志 或 配 
置 文件 。 在 威胁 建 模 过 程 中 ， 你 必须 始终 认为 自己 就 像 一 个 攻击 者 ， 假 设 软件 产品 的 所 有 输 
人 可 以 是 恶意 的 ， 而 且 所 有 信任 边界 可 在 第 一 层面 上 突破 ， 也 就 是 软件 产品 之 间 的 首 个 互动 
层 和 最 终 用 户 。? - 


分 解 应 用 


a > 
% 2 


确定 漏洞 


图 4-2 ”威胁 建 模 的 五 步骤 


威胁 建 模 的 目标 是 通过 分 解 它 ， 理 解 它 如 何 与 外 部 实体 交互 ， 以 获得 对 软件 应 用 的 理解 。 
这 通过 信息 收集 和 归档 到 一 个 明确 定义 的 结构 完成 ， 从 而 确保 正确 的 信息 收集 。 从 安全 的 角 
度 看 ， 威 胁 建 模 的 主要 目标 是 获得 关于 成 功 是 什么 样子 的 理解 ， 并 且 为 了 实现 这 个 目标 ， 你 
需要 安全 性 成 功 的 基准 。 这 些 项 目的 一 个 非常 有 用 的 清单 出 现在 2006 年 的 《 MSDN 》 杂 志 
上 ， 并 在 这 里 被 转载 。 

设计 原则 

。 开 放 式 设 计 : 假设 攻击 者 有 来 源 和 规格 。 

。 故 障 保护 默认 值 : 无 法 关闭 ; 无 单 点 故障 。 

。 最 小 特权 : 除 需 要 外 没有 更 多 特权 。 

。 机 制 的 经 济 : 保持 简单 。 

。 分 离 的 特权 : 不 要 允许 基于 单一 条 件 的 操作 。 

。 总 计 调解 : 每 次 检查 所 有 事情 。 

。 最 常见 的 机 制 : 谨防 共享 资源 。 

。 心 理 上 的 可 接受 性 : 他 们 会 使 用 它 吗 ? 

安全 性 能 

。 保 密 性 : 数据 仅 提供 给 有 意 访问 它 的 人 。 
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。 完 整 性 : 数据 和 系统 资源 只 以 适当 的 方式 由 适当 的 人 改变 。 

。 可 用 性 : 在 需要 的 时 候 和 以 可 接受 的 方式 执行 时 系统 可 用 。 

。 身 份 验证 : 确定 用 户 的 身份 (或 者 你 愿意 接受 匿名 用 户 )。 

。 授 权 : 用 户 明确 允许 或 拒绝 对 资源 的 访问 。 

。 不 可 否认 性 : 用 户 无 法 执行 的 操作 ， 之 后 拒绝 执行 它 。? 

参与 威胁 建 模 的 关键 步骤 是 

1. 用 数据 流 图 打破 你 的 产品 架构 。 

2. 使 用 STRIDE 威胁 类 别 ， 以 确定 哪些 威胁 适用 于 数据 流 图 中 的 每 个 元 素 。 

3. 映射 适用 于 使 用 场景 的 背景 下 有 关 漏 洞 的 所 有 威胁 。 

4. 威胁 等 级 评价 。 为 每 个 威胁 和 漏洞 分 配 一 个 风险 评级 ， 用 于 了 解 它们 的 影响 ， 这 将 有 
助 于 确定 修复 它们 的 优先 级 。 使 用 DREAD 或 其 他 方法 。 

5. 对 每 个 标识 的 漏洞 定义 缓解 计划 / 对 策 。 

6. 按照 前 面 的 步骤 确定 的 优先 级 修正 业务 的 不 能 接受 的 漏洞 。 


43.2 Ruane 


威胁 建 模 过 程 的 第 一 步 是 确定 威胁 流 的 一 个 可 视 化 表示 ， 通 常情 况 下 这 以 图 的 形式 在 白 
板 会 话 期 间 绘 制 。 重 要 的 是 要 对 这 个 过 程 提供 一 种 结构 。 提 供 结构 有 助 于 避免 错误 。 如 果 没 
有 一 个 良好 的 图 ， 你 可 能 不 会 有 一 个 良好 的 威胁 模型 。 重 要 的 是 要 了 解 ， 第 一 ， 这 项 工作 是 
关于 数据 流 的 ， 而 不 是 代码 流 。 这 是 团队 开发 人 员 常 常 犯 的 错误 ， 因 为 他 们 的 生活 、 工 作 与 
代码 开发 息息相关 ， 但 是 通常 不 注重 他 们 正在 开发 的 代码 的 数据 安全 。 在 这 个 阶段 的 威胁 建 
模 过 程 中 所 产生 的 图 被 称 为 数据 流 图 或 DFD， 这 应 该 是 毫 不 奇怪 的 。DFD 的 重点 是 关注 在 软 
件 解决 方案 中 数据 如 何 移动 ， 在 移动 时 数据 发 生 了 什么 ， 让 我 们 更 好 地 了 解 软件 是 如 何 工作 
的 和 它 的 底层 架构 ， 方 式 是 提供 软件 如 何 处 理 数据 的 可 视 化 表示 。 该 可 视 化 表示 是 分 层 的 结 
构 ， 所 以 它 可 以 让 你 将 软件 架构 分 解 成 子 系统 ， 以 及 较 低 级 别 的 子 系统 。 在 较 高 的 水 平 ， 这 
可 以 让 你 清楚 被 建 模 的 应 用 范围 ， 在 较 低 的 水 平 它 可 以 让 你 专注 于 处 理 特定 数据 时 涉及 的 具 
体 流程 。 

在 开始 建立 你 的 DFD 前 ， 了 解 你 所 要 使 用 的 元 素 图 像 始终 是 一 个 好 主意 。DFD 中 通常 使 
用 的 基本 元 素 和 符号 如 图 4-3 所 示 。 可 以 通过 连接 这 些 不 同 的 元 素 作为 数据 流 并 应 用 的 元 素 
(如 适用 ) 之 间 的 边界 建立 DFD, 

这 里 使 用 DFD 的 第 1 个 例子 是 一 个 Web 应 用 程序 的 威胁 建 模 数据 流 图 ， 见 图 4-4。 这 个 
数据 流 图 表示 由 客户 和 远程 员工 从 公司 网 站 访问 企业 营销 数据 的 过 程 。 第 一 个 也 是 最 明显 的 
安全 控制 区 别 在 公司 员工 文件 访问 和 客户 文件 访问 之 间 。 员 工 数据 可 能 包含 授权 公司 仅 用 于 
公司 员工 的 IP 信息 ， 并 根据 他 们 的 职责 ， 非 常 敏感 的 竞争 力 营销 和 定价 数据 只 对 “需要 知道 ” 
的 员工 授权 。 

图 4-4 的 DFD 图 仅 供 参考 ， 并 不 代表 开发 一 个 应 用 程序 的 最 佳 途径 。 更 仔细 检查 流程 
图 ， 我 们 注意 到 以 下 几 点 : 

。 没 有 员工 和 客户 分 割 数据 。 

。 在 他 们 访问 网 站 上 的 数据 之 前 似乎 没有 对 远程 员工 (如 VPN) 进行 双 因 素 身 份 验证 。 

。 应 该 是 Web 应 用 程序 一 部 分 的 分 层 结构 尚未 开发 完全 (或 至 少 不 属 于 这 个 DFD)。 这 可 
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能 会 简化 图 ， 但 也 可 能 隐藏 着 一 些 用 例 和 流 。 


元 素 类 型 


Ez 













软件 应 用 外 部 不 受 你 控制 的 元 素 , 但 是 可 
能 会 调用 或 和 (通过 一 个 人 口 点 建 模 的 ) 软件 

这 个 用 来 表示 数据 的 子 过 程 集合 ， 通 常 表 

示 另 一 个 DFD 涉及 有 故障 的 子 过 程 或 延伸 到 O 

另外 附加 的 DFD 中 


有 交互 
这 个 代表 软件 内 部 管理 数据 的 任务 。 这 个 

任务 可 能 会 基于 数据 处 理 或 执行 一 个 任务 
多 过 程 
a | ET | = | 
数据 流 这 个 表示 软件 中 数据 的 移动 过 程 ， 箭 头 表 
~ 
信任 边界 一 个 信任 边界 出 现在 一 个 组 件 不 信任 边界 
另 一 侧 的 组 件 时 。 信 任 边界 通常 存在 于 不 同 
隐私 级 别 的 元 素 之 间 ， 当 然 也 可 以 存在 于 在 
一 样 的 隐私 级 别 之 间 运 行 的 不 同 组 件 之 间 

















图 4-3 DFD 元 素 类 型 


用 户 /Web 服务 器 边界 
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数据 库 文件 品 卡 数据 库 






SQL 查询 
调用 





用 户 /Web 服务 器 边界 


图 4-4 应 用 程序 威胁 建 模 的 数据 流 图 示例 


图 4-5 中 的 DFD 是 一 个 *aas 向 客户 提供 基础 服务 的 例子 。 不 同 于 传统 的 Web 应 用 ， 这 
个 DFD 显示 了 客户 怎样 通过 云 服务 提供 商 接 人 服务 的 例子 。 这 种 情况 下 ， 最 显著 的 安全 性 控 
制 是 通过 云 操作 保护 客户 数据 。 客 户 可 以 通过 多 种 方式 ， 如 通过 API 调用 、Web 应 用 程序 或 
















ed BAX 
自 定义 应 用 程序 开发 接 入 服务 。 
用 户 / 服务 提供 者 信任 边界 
云 操作 / *aaS 服务 i arse: 
客户 数据 SaaS 操作 [ 云 服务 ] 通过 Web、API 或 





请 求 ”者 应 用 接 入 服务 


响应 


响应 





用 户 /服务 提供 者 信任 边界 。 请 求 


图 4-5 基于 云 的 应 用 程序 数据 流 图 示例 


更 仔细 检查 流程 图 ， 我 们 注意 到 以 下 几 点 : 

。 应 用 接 人 通过 API 或 Web 没有 区 别 。 

。 云 端 操作 是 更 详细 的 云端 操作 架构 的 高 层次 抽象 。 

© DFD 不 告诉 我 们 不 同 客 户 之 间 的 分 割 。 

。 它 也 没有 说 明 数 据 多 么 安全 ， 也 就 是 说 ， 它 是 否 加 密 ? Web 服务 器 是 否 只 与 在 集群 中 

的 数据 库 服务 器 Web 服务 器 通信 或 通信 方式 是 什么 ? 

令 DFD 正确 是 获得 正确 的 威胁 模型 的 关键 。 在 你 的 DFD 上 花 足 够 的 时 间 ， 确保 你 的 系 
统 的 所 有 部 分 都 被 表示 出 来 。 每 个 元 素 (流程 、 数 据 存储 、 数 据 流 和 相互 交互 者 ) 都 有 一 组 可 
能 的 威胁 ， 就 像 你 可 以 在 图 4-6 中 看 到 的 。 这 个 图 表 ， 以 及 你 的 DFD ， 提 供 了 调查 你 的 系统 
可 能 会 失败 的 框架 。5 





EE ET | ua 

一 v 
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图 4-6 威胁 影响 因素 (* 数据 存储 为 日 志 ， 有 关于 不 可 否认 的 问题 的 关注 ， 以 及 为 删除 日 志 而 对 数据 存 
储 的 攻击 。 一 组 应 当 使 用 使 评估 更 加 完整 的 问题 ， 使 得 这 些 威胁 更 加 具体 和 可 访问 。” ) 
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DFD 过 程 不 仅 需 要 你 像 一 个 攻击 者 一 样 思考 ， 而 且 可 能 需要 像 多 个 攻击 者 一 样 思考 ， 特 
别 是 如 果 你 的 软件 产品 是 要 在 云 上 或 Saas 环境 中 运行 的 话 更 是 如 此 。 一 旦 DFD 完成 ， 你 应 
该 对 软件 如 何 处 理 数 据 有 一 个 准确 的 概述 ， 包 括 它 如 何 移 动 ， 在 应 用 程序 和 其 他 与 它 相 关 的 
程序 中 会 发 生 什么 。 高 水 平 的 DFD 会 阐明 应 用 的 范围 ， 较 低 水 平 的 DFD 阐明 当 人 处理 特定 的 
数据 时 所 涉及 的 过 程 。 


4.3.3 ”架构 威胁 分 析 和 威胁 评级 


4.3.3.1 威胁 判定 
判定 威胁 的 第 一 步 是 采用 一 种 方法 ， 通 过 它 可 以 对 威胁 进行 分 类 。 这 提供 了 在 软件 应 用 
程序 中 用 一 种 结构 化 和 可 重复 的 方式 系统 地 识别 威胁 类 别 的 能 力 。STRIDE 是 威胁 分 类 的 一 
种 方法 ， 该 方法 多 年 前 由 微软 普及 ， 本 章 将 其 用 作 威 胁 判 定 工具 的 一 个 例子 ， 但 它 肯 定 不 是 
唯一 可 以 使 用 的 方法 。STRIDE 中 每 个 字母 的 缩写 有 助 于 归 类 攻击 者 的 目标 : 
。 欺骗 (Spoofing, S) 
。 算 改 (Tampering, T) 
e 否认 (Repudiation, R) 
。 信 息 泄露 (Information disclosure, I) 
。 拒 绝 服务 (Denial of service, D) 
。 提 升 权限 (Elevation of privilege, E) ê 
STRIDE 的 第 一 步 是 将 系统 分 解 成 相关 的 组 件 ， 然 后 分 析 每 个 组 件 对 威胁 的 敏感 性 ， 最 
后 ， 减 轻 威胁 。 这 个 过 程 重 复 进行 ， 直 到 你 接受 任何 余下 的 威胁 。 之 后 该 系统 被 认为 是 安全 
的 ， 因 为 你 现在 已 经 将 你 的 软件 应 用 程序 和 系统 拆 分 成 单个 组 件 ， 并 减轻 了 对 每 个 组 件 的 威 
胁 。 当 然 ， 这 种 方法 有 其 缺陷 ， 在 于 所 述 软件 和 系统 的 各 个 组 成 部 分 只 是 一 个 较 大 系统 的 一 
部 分 ， 你 只 能 和 最 薄弱 的 环节 一 样 安全 。 软 件 产品 和 系统 的 各 个 组 成 部 分 独立 时 可 能 并 不 易 
于 面 对 威胁 ,但 当 它 是 一 个 较 大 系统 的 一 部 分 时 则 可 能 会 受到 威胁 。 对 于 那些 没有 被 设计 成 
可 以 在 互联 网 上 、 云 中 、SaaS 环境 中 使 用 的 软件 产品 来 说 尤其 如 此 。 
一 般 威胁 和 安全 控制 可 影响 以 下 每 个 STRIDE 类 别 。 
。 欺骗 : 一 种 威胁 行为 ， 用 来 非法 访问 和 使 用 另 一 个 用 户 的 赁 证， 如 用 户 名 和 密码 一 一 
身份 验证 
e RTH: 一 种 威胁 行为 ， 旨 在 恶意 更 改 /修改 持久 性 数据 ， ARE ST OE 
以 及 在 一 个 开放 的 网 络 中 (如 Internet) 两 台 计算 机 之 间 传 输 过 程 中 数据 的 改变 
整 性 
。 TUA: 一 种 威胁 行为 ， 旨 在 在 一 个 缺乏 追踪 被 禁止 操作 能 力 的 系统 中 进行 违规 操作 一 一 
不 可 否认 性 
ARR: 一 种 威胁 行为 ， 用 来 读 取 一 个 没有 授权 访问 的 文件 ， 或 读 取 传 输 中 的 数 
据 一 一 保密 性 
。 拒绝 服务 : 威胁 的 目的 是 拒绝 有 效用 户 的 访问 ， 比 如 使 Web 服务 器 暂时 不 可 用 或 无 法 








。 提 升 权 限 : 威胁 的 目的 是 获得 访问 资源 的 特权 ， 获 得 未 经 授权 的 访问 信息 或 破坏 系 
统一 一 授权 ” 
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4.3.3.2 威胁 分 析 

在 完成 了 DFD 之 后 ， 你 应 该 找 出 设计 和 实现 方法 进行 输入 验证 、 身 份 验证 、 授 权 、 配 置 
管理 ， 以 及 对 于 其 他 领域 中 最 容易 受到 攻击 的 应 用 的 漏洞 ， 建 立 所 谓 的 安全 配置 文件 。 

下 面 给 出 一 个 实际 例子 ,一般 在 分 析 软 件 应 用 程序 的 设计 和 实施 的 各 个 方面 会 问 到 以 下 
问题 。 我 们 把 这 些 分 成 这 几 个 大 类 : 输入 验证 ， 身 份 验证 ， 授 权 ， 配 置 管理 ， 敏 感 数据 ， 会 
话 管理 ， 加 密 ， 异 常 管理 ， 参 数 操作 ， 以 及 审计 和 日 志 记 录 。 

WANT 

这 背后 的 理由 是 ， 高 层 用 户 的 输入 应 被 视 为 不 可 信 的 ， 软 件 在 使 用 前 应 进行 验证 。 下 面 
是 关于 输入 验证 的 相关 问题 : 

es 

2. 攻击 者 能 否 注入 命令 或 恶意 数据 到 应 用 程序 中 ? 

ee aes 

4. 在 数据 库 中 的 数据 是 否 可 信 ? 

5. 你 想 不 想 将 用 户 输入 加 入 白 名 单 或 黑 名 单 ? 

身份 验证 

所 有 的 用 户 交 互 (和 软件 /API)， 与 整个 系统 的 交互 应 被 认为 验证 通过 身份 验证 。 没 有 服 
务 和 功能 可 以 无 需 验证 ， 除 非 用 户 /系统 /APL 组 件 是 合法 的 。 它 是 否 可 以 使 用 功能 使 我 们 进 
入 授权 环节 。 通 常情 况 下 要 问 的 身份 验证 问题 如 下 : 

1. 如 果 他 们 通过 网 络 传递 是 否 有 担保 凭证 ? 

2. 是 否 使 用 严格 账户 策略 ? 

3. 是 否 强 制 执 行 强 密码 ? 

4. 是 否 使 用 证 书 ? 是 否 在 使 用 任何 通配符 证 书 ? 

5. 是 否 有 密码 验证 程序 (使 用 单 向 散 列 ) 用 于 用 户 的 密码 ? 

6. 如 何 实 现 系统 组 件 的 相互 验证 (例如 如 何 完成 对 数据 库 的 服务 验证 ) ? 

7. 在 服务 / 应 用 程序 的 启动 过 程 中 ， 系 统 组 件 如 何 验证 对 方 ? 

8. 是 否 使 用 密 钥 而 不 是 密码 进行 身份 验证 ? 

授权 

很 多 时 候 ， 我 们 想 限 制 用 户 /系统 /API 组 件 访问 一 个 软件 系统 中 的 某 些 功能 。 授 权 使 我 
们 能 够 做 到 这 一 点 ， 即 对 某 些 代理 防止 某 些 操作 。 通 常 涉及 授权 的 问题 如 下 : 

1. 用 于 应 用 程序 人口 点 的 是 什么 看 门人 ? 

2. 在 数据 库 中 授权 如 何 强制 执行 ? 

3. 是 否 在 使 用 一 个 防御 纵深 策略 ? 

4. 你 是 否 无 法 安全 地 访问 ， 只 允许 在 凭证 确认 成 功 时 访问 ? 

配置 管理 

配置 管理 使 我 们 能 够 强化 软件 、 系 统 、 服 务 和 设备 ， 并 锁定 下 来 ， 从 而 降低 环境 风险 。 
配置 管理 的 组 成 部 分 包括 强化 标准 和 准则 ， 审 查 应 用 程序 关于 服务 的 依赖 性 ， 检 查 用 户 和 管 
理 员 界面 ， 安 全 变更 管理 等 。 问 题 大 致 如 下 : 

1. 应 用 程序 支持 什么 管理 界面 ? 

2. 它们 是 如 何 确保 安全 的 ? 
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3. 远程 管理 是 否 安全 ? 

4. 使 用 什么 样 的 配置 存储 ? 它们 如 何 保证 安全 ? 

5. 是 否 对 于 软件 栈 (操作 系统 、 数 据 库 、 应 用 程序 ) 开发 了 强化 的 标准 ? 

6. 软件 系统 是 否 提供 了 一 种 方式 从 已 批准 的 安全 配置 更 改 检测 差异 ? 

7. 所 有 的 团队 (IT、QA、 工 程 、 运 作 ) 是 否 对 于 不 同 的 组 件 只 能 使 用 批准 (EE) 的 软 
件 图 像 ， 如 操作 系统 、 数 据 库 、Web 和 应 用 服务 器 ? 

8. 已 批准 图 像 是 否 用 于 跨越 从 开发 到 部 署 的 整个 生命 周期 ? 

敏感 数据 

这 方面 涉及 关于 应 用 和 系统 处 理 的 数据 类 型 的 认识 。 在 许多 情况 下 ， 我 们 发 现 开发 和 运 
营 团 队 都 没有 意识 到 或 对 其 应 用 程序 要 处 理 的 数据 类 型 ， 以 及 对 数据 元 素 的 保护 是 否 足 够 没 
有 足够 的 认识 (无 论 是 设计 或 失误 )。 

1. 应 用 程序 处 理 什么 敏感 数据 ? 

2. 什么 法 规 / 合 规 性 要 求 适 用 于 数据 / 数据 元 素 ? 

3. 它 是 如 何 保证 在 网 络 上 和 持久 性 存储 中 的 安全 ? 这 足够 符合 法 律 / 法 规 要求 吗 ? 

4. 使 用 什么 类 型 的 加 密 ? 加 密 密 钥 如 何 确保 安全 ? 

5. 敏感 数据 元 素 是 否 出 现在 日 志 、 源 代码 或 配置 文件 (例如 ，XML) P? 

会 话 管理 

安全 地 建立 和 保持 注入 会 话 的 完整 性 是 当今 应 用 (尤其 是 Web 应 用 程序 ) 的 关键 组 件 之 
一 。 一旦 用 户 通过 身份 验证 ， 就 会 建立 会 话 。 这 可 能 会 导致 在 多 个 场景 中 的 会 话 被 滥用 。 会 
话 管 理 的 重点 是 防止 这 类 侵权 行为 。 这 方面 的 典型 的 问题 如 下 : 
. 会 话 cookie 是 如 何 产 生 的 ? 
它们 如 何 确 保安 全 以 防止 会 话 劫持 ? 
如 何 保证 持久 性 会 话 状态 的 安全 ? 
在 哪里 存储 会 话 信 息 ? 在 服务 器 还 是 客户 端 ? 
当 会 话 跨越 网 络 时 ， 如 何 确保 会 话 状 态 安 全 ? 
.应 用 程序 如 何 通过 会 话 存储 验证 ? 
.证 书 是 由 网 络 传递 的 吗 ?” 它们 由 应 用 程序 维护 吗 ? 如 果 是 这 样 它们 如 何 确保 安全 ? 

8. 用户/ 组 件 的 多 个 会 话 如 何 处 理 ? 

加 密 

每 个 人 都 使 用 加 密 技术 。 加 密 倾向 于 给 大 多 数 开发 者 和 用 户 提供 一 种 安全 感 。 然 而 ， 正 
确 使 用 加 密 技术 的 情况 在 我 们 的 经 历 中 并 不 常见 。 使 用 加 密 技术 来 解决 错误 的 问题 往往 会 使 
人 更 加 泪 丧 ， 其 至 泄露 隐私 。 当 使 用 加 密 技术 处 理 时 ， 最 好 坚持 使 用 经 过 良好 测试 的 、 可 公 
开 获 得 的 算法 和 函数 库 。 关 于 密码 学 的 问题 包括 以 下 内 容 。 

1. 什么 是 加 密 技术 要 解决 的 问题 (机 密 性 、 完 整 性 或 两 者 皆 是 ) ? 

2. 使 用 何 种 算法 和 加 密 技术 ? 

3. 是 否 有 任何 专属 的 或 内 部 算法 被 使 用 ? 

4. 加 密 密 钥 可 以 使 用 多 久 ， 它 们 是 如 何 确保 安全 的 ? 

5. 应 用 程序 是 否 把 它 自己 的 加 密 付 诸 行 动 ? 

6. 密 钥 被 回收 的 频率 是 多 少 ? 证 书 对 它 进 行 合法 性 检查 吗 ? 证 书 核查 撤销 列表 吗 ? 
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参数 操作 

应 用 程序 经 常 传递 参数 与 其 他 方 进行 沟通 。 参 数 范围 (不 是 那么 重要 ) 包含 迭代 器 、 变 量 
名 、 值 和 会 话 令 牌 。 中 间 人 攻击 ( MITM) 和 蓄意 算 改 参数 使 得 我 们 检测 参数 是 否 确实 被 安全 
接收 且 可 以 像 设计 的 那样 使 用 的 设备 机 制 变 得 非常 重要 。 当 务 之 急 是 在 接收 端 (例如 输入 验 
W) 不 要 盲目 信任 参数 。 
.应 用 程序 是 否 检测 被 自 改 的 参数 ? 
. 应 用 程序 是 否 仅 依赖 客户 端的 验证 ， 还 是 同时 也 有 服务 器 端的 验证 呢 ? 
它 是 否 验 证 表单 字段 、 视 图 状态 cookie 数据 和 HTTP 包头 中 的 所 有 参数 ? 
.参数 是 否 直接 用 于 数据 库 查 询 ? 
. 参数 是 否 直接 映射 给 浏览 器 ? 

异常 管理 

优雅 地 处 理 错 误 条 件 和 异常 是 软件 应 用 的 关键 。 通 常情 况 下 ， 开 发 者 会 错过 这 样 的 条 件 
或 不 正确 地 处 理 它们 。 不 当 的 错误 处 理 /异常 管理 的 副作用 包括 拒绝 服务 或 信息 泄露 。 用 来 
探讨 这 方面 的 示例 如 下 : 

1. 应 用 程序 如 何 处 理 错 误 条 件 ? 

2. 是 否 有 一 个 默认 的 捕捉 异常 ? 

3. 异常 是 否 一 直 都 允许 传播 回 客 户 端 ? 

4. 一 般 错 误 消 息 是 否 不 包含 可 利用 的 信息 ? 

5. 异常 日 志 中 是 否 记录 敏感 信息 ? 

6. 是 编程 语言 的 内 置 功 能 用 于 此 目的 ， 还 是 依赖 开发 商 内 部 模块 ? 

审计 和 日 志 记 录 

审计 和 日 志 在 多 种 原因 下 都 是 非常 关键 的 。 安 全 性 是 其 中 之 一 ,万 一 发 生 法 律 问题 审计 追 
踪 很 有 用 。 虽 然 越 来 越 多 地 注意 安全 问题 ， 但 是 操作 / 调试 往往 是 审计 /日 志 的 驱动 程序 。 以 
下 是 一 些 示例 问题 ， 通 过 这 些 可 以 了 解 审 计 和 日 志 记录 。 

1. 请 问 应 用 程序 审计 活动 在 所 有 服务 器 上 的 所 有 层次 都 存在 吗 ? 

2. 如 何 确 保 日 志文 件 的 安全 ? 

3. 应 用 程序 是 否 记 录 任 何 敏 感 信息 (如 证 书 、 数 据 元 素 、 会 话 令 牌 ) ? 

4. 日 志文 件 是 否 安全 传输 (如 TCP/TLS) ? 

5. 是 否 有 明确 的 日 志文 件 保留 期 限 规定 ? 它 是 否 与 监管 及 法 律 规定 一 致 ? 

6. 日 志 多 久 旋转 一 次 ? 

T. 对 某 种 类 型 的 事件 有 触发 水 平 的 定义 吗 ? 

既然 你 有 了 威胁 的 可 视 化 表示 ， 并 回答 了 上 述 问题 ,下 一 步 就 是 确定 可 能 会 影响 你 的 
软件 应 用 程序 的 威胁 。 这 也 是 你 汇集 软件 安全 团队 和 开发 团队 的 要 素 ， 通 过 白板 会 议 对 那 
些 已 在 威胁 建 模 被 确认 的 漏洞 集思广益 成 本 效益 和 实用 的 解决 方案 。 攻 击 者 的 目标 是 解决 
STRIDE 评估 过 程 中 的 威胁 和 问题 。 这 是 从 一 个 稍微 高 一 些 的 架构 和 多 功能 的 角度 来 给 头脑 
风暴 团队 进行 包装 。 使 用 任何 可 用 的 威胁 分 类 列表 ， 并 把 它 应 用 到 任何 早期 发 现 的 漏洞 中 去 ， 
也 是 常见 的 做 法 。 

使 用 攻击 树 和 攻击 模式 是 一 个 传统 的 威胁 评估 方法 ， 它 可 以 帮助 你 发 现 更 多 潜在 的 威胁 。 
尽管 攻击 模式 通常 表示 为 攻击 ， 但 是 它 与 攻击 树 结合 之 后 可 以 用 于 更 深层 地 分 析 高 亮 区 域 ， 
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这 个 区 域 你 可 能 在 最 初 分 析 的 时 候 错 过 了 ， 或 是 它 通过 使 用 分 类 列表 发 现 的 已 知 威胁 。 由 于 
攻击 树 是 一 个 层次 、 结 构 和 流程 图 的 风格 ， 因 此 它们 给 了 攻击 一 个 很 好 的 可 视 化 表现 ， 并 且 
帮助 聚焦 潜在 的 额外 方法 来 避免 或 减轻 此 类 攻击 。 它 们 在 创建 测试 计划 和 安全 成 本 的 评估 时 
也 是 非常 有 用 的 。 由 于 攻击 模式 、 攻 击 者 的 技术 和 STRIDE 主要 侧重 于 攻击 者 的 目标 ， 所 以 
利用 它们 与 攻击 树 的 结合 ， 有 助 于 给 这 个 过 程 带 来 全 面 的 方法 ， 尤 其 是 在 面对面 的 头脑 风暴 
会 议 中 使 用 它们 。 

在 想 要 转移 到 威胁 建 模 和 架构 风险 评估 过 程 的 下 一 阶段 并 开始 给 风险 评估 赋值 时 ， 确 保 
你 已 经 解决 了 关于 容易 利用 性 、 可 能 性 、 影 响 的 风险 。 在 转移 到 下 一 个 阶段 前 你 必须 要 掌握 
的 只 是 已 经 在 图 4-7 中 给 出 的 可 视 化 的 表示 。 如 果 没 有 处 理 一 个 领域 的 风险 所 需 的 信息 ， 你 
需要 回去 重新 完成 这 个 过 程 ， 并 弥补 你 的 知识 和 理解 的 差距 。 





图 4-7 风险 评估 过 程 


4.3.3.3 ”威胁 的 评级 

在 威胁 建 模 和 架构 的 安全 性 分 析 的 最 后 阶段 ， 从 风险 的 角度 来 对 威胁 排名 。 因 为 减 
轻 所 有 识别 的 威胁 可 能 不 是 在 经 济 上 可 行 的 ， 所 以 把 它们 按 风险 从 最 高 到 最 低 排 名 。 一 
些 威胁 也 可 以 忽略 不 计 ， 因 为 除 之 当 它 们 被 利用 时 只 可 能 导致 非常 有 限 的 损害 之 外 ， 它 
们 出 现 的 概率 很 低 。 一 个 由 风险 确定 的 威胁 优先 级 列表 将 极 大 地 帮助 确定 威胁 的 优先 级 
别 以 及 缓解 的 重要 性 。 在 较 高 的 层次 ， 这 些 风险 通常 会 被 列 为 高 、 中 、 低 三 段 。 在 工业 
中 使 用 的 一 种 典型 的 风险 概率 公式 表示 为 : 特定 漏洞 的 风险 和 后 果 等 于 威胁 的 发 生 概 率 
乘 以 潜在 损害 ， 即 : 


风险 = 概率 X 潜在 损害 
通常 在 风险 概率 计算 中 有 10 级 测定 ， 数 字 1 代表 的 是 最 不 可 能 出 现 的 威胁 ， 数 字 10 代 
表 的 是 最 有 可 能 发 生 的 威胁 或 组 件 。 同 样 的 1 到 10 的 排名 系统 ， 用 于 分 配 造成 破坏 的 概率 ， 
用 1 表示 造成 破坏 的 概率 最 小 ，10 表示 最 大 。 
举 一 个 例子 来 说 明 涉 及 的 机 制 ， 一 个 威胁 出 现 的 概率 为 中 等 ， 威 胁 的 概率 风险 分 数 是 5， 


潜在 损害 等 于 10， 那 么 它 的 风险 等 于 一 个 具有 10 的 概率 风险 分 数 和 潜在 损害 为 5 的 风险 。 
数学 表示 如 下 : 
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如 果 概 率 =$， 潜 在 损害 = 10， 那 么 风险 =5 xX 10=50% 


如 果 概 率 = 10， 潜 在 损害 =5， 那 么 风险 =10 x 5=50% 


正如 你 可 以 从 这 个 例子 看 到 的 ，100 可 以 分 为 三 个 范围 来 表示 高 、 中 、 低 风险 等 级 。 显 
然 ， 你 修复 漏洞 的 优先 级 将 从 风险 优先 级 最 高 的 漏洞 开始 ， 因 为 这 可 能 意味 着 立即 解决 它 是 
必需 的 。 接 下 来 你 将 会 解决 中 等 风险 的 漏洞 ， 那 些 漏洞 需要 在 此 后 不 久 后 完成 但 是 优先 级 稍 
低 。 如 前 所 述 ， 优 先 级 最 低 的 风险 取决 于 工作 量 、 曝 光度 、 财 务 或 法 律 风险 的 等 级 ， 当 然 也 
与 风险 相关 。 

4.3.3.4 DREAD 

虽然 可 以 在 软件 开发 过 程 中 评估 漏洞 时 使 用 许多 不 同 的 风险 模型 ， 但 是 微软 使 用 
的 DREAD 模型 是 最 流行 的 。 缩 写 DREAD 代表 潜在 损害 ( Damage potential)、 可 重复 性 
(Reproducibility)、 可 利用 性 (Exploitability)、 受 影响 的 用 户 ( Affected user) 和 可 发 现 性 
(Discoverability)。 给 这 些 元 素 产生 1~10 的 数字 用 于 建立 风险 评级 ; 数字 越 高 ， 风 险 越 严 重 。 
这 些 数字 用 于 一 个 量化 、 比 较 和 给 大 量 风 险 排序 的 分 类 方案 中 ， 这 些 风险 由 每 个 评估 威胁 和 
计算 数字 形式 的 整体 风险 确定 ， 这 样 威胁 就 可 以 排序 并 且 可 以 和 软件 应 用 程序 中 找到 的 其 他 
风险 一 起 排序 。 

如 图 所 示 ，DREAD 算法 用 来 计算 风险 值 ， 它 是 DREAD 类 别 的 平均 值 : 


Risk DREAD = (DAMAGE + REPRODUCIBILITY + EXPLOITABILITY 
+ AFFECTED USERS + DISCOVERABILITY)/5”! 


下 面 一 些 例 子 展示 了 如 何 给 一 个 给 定 的 威胁 风险 评级 ， 方 法 是 通过 提问 来 量化 DREAD 
类 别 : 0 
潜在 损害 
。 如 果 威 胁 攻 击发 生 ， 会 造成 多 大 的 损害 ? 
图 0= 无 。 
BS = 个 人 用 户 数据 被 泄露 或 受 影 响 。 
图 10 = 整个 系统 或 全 部 数据 被 销毁 。 
可 重复 性 
。 重 现 威胁 漏洞 有 多 容易 ? 
E 0 = 非常 困难 或 不 可 能 ， 即 使 该 应 用 程序 的 管理 员 。 
M5 = 需要 一 个 或 两 个 步骤; 可 能 需要 一 个 授权 用 户 。 
图 10 = 只 需要 一 个 Web 浏览 器 和 地 址 栏 就 足够 了 ， 不 需要 身份 验证 。 
可 利用 性 
。 利 用 此 威胁 需要 些 什 么 ? 
图 0 = 高 级 编程 和 网 络 知识 ， 具 有 定制 或 高 级 的 攻击 工具 。 
图 5= 互联 网 上 存在 恶意 软件 ， 或 一 个 漏洞 利用 攻击 工具 很 容易 进行 。 
E 10 = 只 需 一 个 Web 浏览 器 。 
” 受 影 响 的 用 户 
。 有 和 多少 用 户 将 会 受到 影响 ? 


ZHI (A2): SDL 活动 与 爱 任 实践 59 





E 0-5, 


E 5 = 一 些 用 户 ， 但 不 是 全 部 。 
E 10 = 所 有 用 户 。 


可 发 现 性 


。 发现 这 种 威胁 有 多 么 容易 ? 
E 0 = 非常 困难 或 不 可 能 ; 需要 源 代码 或 管理 员 权限 。 
E 5 = 通过 猜测 或 监控 网 络 痕迹 可 以 识别 。 
图 9 = 像 这 种 错误 的 细节 已 在 公共 领域 出 现 ， 使 用 搜索 引擎 可 以 很 容易 发 现 。 
图 10 = 信息 在 Web 浏览 器 地 址 栏 或 表单 中 是 可 见 的 。 
下 一 步 是 根据 你 的 回答 给 每 一 个 DREAD 类 别 划 分 威胁 等 级 : 低 〈 值 =1)、 中 ( 值 =2 ) 和 
高 ( 值 =3 )， 如 下 所 示 。m 


潜在 损害 

(R ( 值 =1 ): 泄露 琐碎 的 信息 。 

中 ( 值 =2 ): 泄露 敏感 信息 。 

高 ( 值 =3 ): 攻击 者 可 以 颠覆 安全 体系 ; 得 到 充分 信任 的 授权 ; 以 管理 员 身 份 运行 ， 上 传 
内 容 。 

可 重复 性 

低 ( 值 =1 ): 这 种 攻击 是 非常 难以 再 现 的 ， 即 使 有 安全 漏洞 的 知识 。 

中 ( 值 =2 ): 该 攻击 可 以 重复 , 但 只 有 一 个 计时 窗口 和 一 个 特定 的 竞争 情况 。 

高 ( 值 =3 ): 该 攻击 每 次 都 可 重复 ， 并 不 需要 一 个 计时 窗口 。 

可 利用 性 

Ik ( 值 =1 ) : 攻击 需要 一 个 非常 熟练 技能 的 人 ， 并 深入 了 解 每 一 次 可 以 利用 漏洞 攻击 
的 知识 。 

中 ( 值 =2 ): 一 个 熟练 的 程序 员 就 可 以 攻击 ， 然 后 重复 上 述 步骤 。 

高 〈 值 =3 ): 一 个 初学 者 在 很 短 的 时 间 内 就 可 以 攻击 。 

受 影响 的 用 户 

1K ( 值 =1 ): 很 小 比例 的 用 户 ， 模糊 的 功能 ; 影响 匿名 用 户 。 

中 ( 值 =2 ): 一 些 用 户 ， 非 默认 配置 。 

高 ( 值 =3 ): 所 有 用 户 ， 默 认 配 置 ， 重 点 客户 。 

可 发 现 性 

低 ( 值 =1 ): 这 个 bug 是 模糊 的 ， 而 用 户 是 不 可 能 计算 出 潜在 损害 的 。 

中 ( 值 =2 ): 该 漏洞 位 于 产品 中 一 个 很 少 使 用 的 部 分 ， 只 有 少数 用 户 会 碰 到 它 。 这 需要 一 


些 思考 ， 看 看 是 否 有 人 恶意 使 用 。 


高 ( 值 =3 ): 


发 布 信息 解释 了 该 攻击 。 该 漏洞 位 于 最 常用 的 功能 中 ， 是 非常 明显 的 。 


这 些 数字 可 以 放 入 类 似 于 图 4-8 所 示 的 一 个 矩阵 中 。 之 后 对 于 一 个 给 定 的 威胁 值 要 进行 
统计 和 求 和 ， 其 结果 将 落 入 5 ~ 15 范围 内 。 整 体 评级 为 12 ~ 15 的 威胁 通常 具有 高 风险 , 那 
些 评级 为 8 ~ 11 的 威胁 具有 中 等 风险 ， 那些 评级 为 5 ~ 7 的 威胁 具有 低 风 险 。 
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图 4-8 DREAD 威胁 等 级 表 


4.3.3.5 Web 应 用 程序 安全 框架 

Web 应 用 程序 安全 框架 也 称 为 应 用 程序 安全 框架 ( Application Security Frame, ASF), © 
使 用 分 类 来 组 织 常 见 的 安全 漏洞 ， 尤 其 专注 于 Web 软件 应 用 程序 。 当 你 在 审查 应 用 程序 设计 
以 创建 一 个 威胁 模型 时 ， 如 果 使 用 这 些 分 类 ， 你 可 以 系统 地 揭示 应 用 程序 架构 的 威胁 和 漏洞 。 
总 共有 9 种 框架 分 类 ; 在 这 个 过 程 中 使 用 的 样 例 问题 如 下 所 示 。 

Web 应 用 程序 安全 框架 分 类 和 评估 问题 "” 

。 输 入 和 数据 验证 

你 怎么 知道 应 用 程序 接收 的 输入 是 有 效 和 安全 的 ?输入 验证 是 指 额外 的 处 理 之 前 ， 应 用 
程序 如 何 过 滤 、 清 洁 或 拒绝 输入 。 考 虑 通过 入 口 点 限制 输入 ， 并 通过 出 口 点 编码 输出 。 你 是 
否 信任 你 的 数据 来 源 ， 如 数据 库 和 文件 共享 数据 ? 

。 身 份 验证 

你 是 谁 ? 身份 验证 是 一 个 实体 证 明 另 一 个 实体 的 身份 的 过 程 ， 通 常 通过 证 书 来 实现 ， 例 
如 用 户 名 和 密码 。 

。 授 权 

你 能 做 些 什么 ? 授权 是 应 用 程序 的 资源 和 操作 是 如 何 提供 访问 控制 的 。 

。 配 置 管理 

应 用 程序 以 什么 身份 运行 ? 它 连 接 到 哪个 数据 库 ? 应 用 程序 是 如 何 管理 的 ? 这 些 设 置 如 
何 保证 安全 ? 配置 管理 是 指 应 用 程序 如 何 处 理 这 些 业务 问题 。 

。 敏感 数据 

应 用 程序 如 何 处 理 敏 感 数据 ?敏感 数据 是 指 应 用 程序 如 何 处 理 必须 加 以 保护 的 数据 ， 不 
论 是 在 内 存 中 ， 在 网 络 上 ， 还 是 在 持久 性 存储 中 。 

。 会 话 管理 

应 用 程序 如 何 处 理 和 保护 用 户 会 话 ? 会 话 是 用 户 和 Web 应 用 程序 之 间 的 一 系列 关联 交互 。 

。 加 密 

如 何 保持 机 密 (保密 性 ) ? 如 何 防止 自 改 数据 或 数据 库 的 (完整 性 ) ? 对 于 必须 强加 密 的 
随机 值 如 何 提供 种 子 ? 加 密 是 指 应 用 程序 如 何 强制 执行 机 密 性 和 完整 性 。 

。 异 常 管理 

在 应 用 程序 中 ， 当 一 个 方法 调用 失败 时 ， 应 用 程序 是 怎么 做 的 呢 ? 你 透露 了 多 少 ? 你 向 
最 终 用 户 返回 友好 的 错误 信息 了 吗 ? 你 把 有 价值 的 异常 信息 传递 回调 用 者 了 吗 ? 应 用 程序 优 
雅 地 出 现 故障 吗 ? 


Z (A2): SDL 活动 与 爱 任 实践 61 


。 审 计 和 日 志 

谁 在 什么 时 候 做 了 什么 ”审计 和 日 志 是 指 应 用 程序 如 何 记 录 与 安全 相关 的 事件 。 

4.3.3.6 通用 风险 模型 . 

微软 的 威胁 建 模 过 程 (如 STRIDE 和 DREAD) 可 能 不 适合 你 的 应 用 程序 ， 你 可 能 希望 
使 用 其 他 的 威胁 风险 模型 或 者 修改 微软 威胁 建 模 过 程 以 供 自己 使 用 ， 对 于 自己 的 组 织 使 用 最 
合适 的 威胁 建 模 方法 。 采 用 定性 值 ， 如 高 、 中 、 低 ， 还 可 以 避免 排序 变 得 过 于 主观 ， 就 像 
DREAD 所 使 用 的 数字 系统 。 

这 些 例子 通过 分 给 可 能 性 和 影响 因素 配 定性 值 (如 高 、 中 、 低 )， 有 助 于 整体 风险 值 的 计 
算 。 在 这 里 采用 定性 值 ， 而 不 是 像 DREAD 模型 中 的 数字 ， 也 有 助 于 避免 排名 变 得 过 于 主观 。 

一 个 更 主观 的 模型 例子 是 通用 风险 模型 ， 其 中 考虑 到 概念 (例如 ， 攻 击 的 概率 ) 和 影响 
(例如 ,潜在 损害 )， 并 用 数学 表示 如 下 :" 


风险 = 概率 x 影响 


可 能 性 或 概率 是 由 威胁 是 否 容易 利用 来 确定 的 ， 这 主要 取决 于 威胁 的 类 型 和 系统 的 特性 ， 
并 通过 考虑 实现 一 种 威胁 的 可 能 性 ， 这 是 由 一 个 适当 对 策 的 存在 性 来 定义 的 。 下 面 是 用 于 确 
定 威胁 易 利 用 性 的 一 组 考虑 因素 : | 

1. 攻击 者 能 否 远 程 利 用 此 威胁 ? 

2. 攻击 者 是 否 需 要 进行 身份 验证 ? 

3. 漏洞 可 以 自动 地 利用 吗 ? 

影响 主要 取决 于 潜在 损害 和 影响 范围 ， 如 包括 受 威胁 组 件 的 数量 。 下 面 举 例 来 确定 潜在 
损害 : 

1. 攻击 者 能 和 否 完全 接管 和 操纵 系统 ? 

2. 攻击 者 能 否 获 得 管理 权限 访问 系统 ? 

3. 攻击 者 是 否 可 以 导致 系统 崩溃 ? 

4. 攻击 者 是 否 可 以 取得 访问 敏感 信息 的 权限 ， 如 机 密 、PII ? 

确定 受 威胁 影响 的 组 件 的 数量 的 示例 包括 : 

1. 有 多 少数 据 源 和 系统 可 能 会 受到 影响 ? 

2. 威胁 代理 可 以 多 么 “ 深 ” 人 基础 设施 ? 

4.3.3.7 Trike 

Trike 是 一 种 不 同 于 STRIDE 和 DREAD 的 威胁 建 模 方法 。Trike 是 一 个 统一 的 概念 性 框 
架 ， 它 从 一 个 风险 管理 的 视角 ， 通 过 以 可 靠 、 可 重复 的 方式 产生 威胁 模型 ， 用 以 完成 安全 审 
it. "Trike 使 用 威胁 建 模 框 架 (类 似 于 微软 的 威胁 建 模 方法 )。 然 而 ，Trike 的 不 同 之 处 在 于 
它 使 用 具有 独特 实施 、 威 胁 和 风险 模型 且 基 于 风险 的 方法 ， 而 不 是 使 用 STRIDE/DREAD 汇 
总 威胁 模型 (攻击 、 威 胁 和 缺陷 )。"” 

Trike 区 别 于 其 他 威胁 模型 方法 的 地 方 是 从 该 系统 的 防御 性 角度 和 方法 论 形式 主义 的 程 
E, PRAGA ERE Ate. "Trike 工具 的 最 新 版 本 可 以 从 Source Forge 网 站 下 载 : 
http://sourceforge.net/projects/trike/files/trike。 

一 个 安全 审计 团队 可 以 用 Trike 来 描述 系统 的 安全 性 特点 : 从 高 层次 的 架构 到 其 低层 次 
的 实现 细节 。Trike 的 目标 是 将 威胁 建 模 的 重复 部 分 自动 化 。Trike 自动 生成 基于 所 述 系统 描 
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述 的 威胁 (和 一 些 攻击 ), 但 是 这 需要 用 户 向 Trike 描述 系统 ， 并 检查 这 些 威 胁 和 攻击 是 否 适 
Ho "Trike 的 一 个 关键 要 素 是 授权 、 参 与 、 并 与 关键 的 利益 相关 者 沟通 完整 进度 和 任务 状态 
透明 性 ， 便 于 他 们 知道 风险 水 平 ， 并 可 以 评估 在 整个 软件 开发 过 程 中 可 以 接受 的 风险 。 

4.3.3.8 PASTA 

2011 4, Marco Morana 和 Tony Uceda Velez 开发 出 一 种 新 的 应 用 程序 威胁 建 模 方法 。 攻 
击 仿真 与 威胁 分 析 过 程 (Process for Attack Simulation and Threat Analysis, PASTA) 是 一 个 包括 
7 步骤 的 过 程 ， 它 适用 于 大 多 数 应 用 程序 开发 方法 ， 并 且 是 平台 无 关 的 。 它 不 仅 对 比 业务 目 
标 与 技术 要 求 ， 同 时 也 考虑 到 了 合 规 性 要 求 、 业 务 影响 分 析 、 威 胁 管理 的 动态 方法 、 枚 举 和 
评分 。 这 个 过 程 从 业务 目标 、 安 全 性 和 法 规 遵从 要 求 、 业 务 影 响 分 析 的 明确 的 定义 开始 。 类 
似 于 微软 的 过 程 ， 应 用 程序 被 分 解 成 组 件 ， 使 用 用 例 图 和 DFD 说 明 威胁 模型 有 哪些 威胁 和 漏 
洞 分 析 可 以 执行 。 下 一 步 涉 及 对 于 分 析 中 的 进一步 引用 威胁 树 、 滥 用 案例 、 评 分 系统 ， 以 及 
枚 举 。 此 后 ， 从 攻击 者 的 角度 ， 威 胁 模型 通过 使 用 威胁 树 攻击 建 模 和 攻击 面 分 析 查 看 。 在 最 
后 一 步 中 ， 风 险 和 业务 影响 将 被 定性 化 和 定量 化 。 这 一 过 程 结合 了 最 好 的 威胁 建 模 方法 ， 用 
攻击 树 作为 查看 威胁 的 以 攻击 者 为 中 心 的 方法 ， 以 及 把 风险 和 影响 分 析 相 结合 ， 打 造 出 以 资 
产 为 中 心 的 缓解 策略 。 威 胁 树 与 现 有 漏洞 的 映射 ， 有 利于 扩展 威胁 管理 工作 。 除 了 技术 方面 
的 问题 之 外 ， 风 险 和 业务 影响 分 析 ， 使 得 威胁 建 模 不 仅仅 是 一 个 软件 开发 工作 (涉及 关键 决 
策 者 在 漏洞 管理 过 程 中 的 参与 )。 它 侧重 于 该 过 程 最 后 阶段 的 风险 管理 措施 。 这 保证 了 它 并 不 
局 限于 特定 的 风险 估计 公式 。"™ 

7 步 PASTA 威胁 建 模 方法 如 下 。™ 

1. 定义 目标 。 

。 确定 业务 目标 。 

。 确 定安 全 性 和 法 规 遵从 要 求 。 

。 业 务 影响 分 析 。 

2. 定义 技术 范围 。 

。 获 取 技术 环境 的 边界 。 

。 获 取 基 础 设施 、 应 用 程序 和 软件 依赖 性 。 

3. 应 用 分 解 。 

。 确 定 用 例 ， 定 义 应 用 程序 人 口 点 和 信任 级 别 。 

。 确 定 参与 者 、 资 产 、 服 务 、 角 色 和 数据 源 。 

。 数据 流 图 表 和 信任 边界 。 

4. 威胁 分 析 。 

。 概 率 攻 击 情况 分 析 。 

。 对 安全 事件 的 回归 分 析 。 

。 威 胁 相关 的 情报 和 分 析 。 

5. 漏洞 和 缺陷 分 析 。 

。 现 有 的 漏洞 报告 和 问题 跟踪 查询 。 

。 使 用 威胁 树 威胁 到 现 有 的 漏洞 映射 。 

。 通 过 用 例 和 滥用 案例 设计 缺陷 分 析 。 

。 打 分 (CVSS/ CWSS) 和 枚 举 (CWE/ CVE). 
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6. 攻击 建 模 。 
。 攻击 面 分 析 。 
。 攻击 树 的 开发 和 攻击 库 管 理 。 
。 使 用 攻击 树 进行 漏洞 攻击 和 漏洞 利用 分 析 。 
7. 风险 及 影响 分 析 。 
。 验 证 和 量化 业务 影响 。 
。 对 策 识别 和 剩余 风险 分 析 。 
© ID 风险 缓解 策略 。 
有 一 种 新 的 威胁 建 模 工具 一 一 ThreatModeler， 它 由 MyAppSecurity 公司 开发 ， 支 持 
PASTA 方法 。ThreatModeler 是 一 种 威胁 建 模 产品 ， 它 使 用 思维 导 图 的 方法 来 进行 威胁 建 模 。 
它 使 公司 能 够 轻松 、 毫 不 费力 地 扩展 数 以 千 计 的 威胁 建 模 活 动 。ThreatModeler 自动 产生 威胁 ， 
并 根据 它们 不 同 的 风险 类 别 进行 分 类 。 它 提供 了 一 个 集中 式 威胁 管理 平台 ,企业 可 以 在 该 平 
台中 定义 与 网 络 、 主 机 、 应 用 、 手 机 、Web 服务 等 有 关 的 威胁 以 及 关联 的 属性 ， 如 技术 影响 、 
业务 影响 和 威胁 代理 ， 以 便 更 好 地 了 人 解 威胁 和 指定 缓解 策略 优先 级 。 
虽然 原来 的 重点 是 应 对 银行 恶意 软件 的 威胁 ,但 是 PASTA 有 跨 应 用 软件 的 适用 性 ， 将 很 
好 地 适应 大 多 数 SDLC。 看 看 它 在 未 来 几 年 是 如 何 被 广泛 接受 的 将 是 非常 有 趣 的 。 
4.3.3.9 CVSS 
另 一 种 风险 评估 方法 是 美国 非常 流行 的 政府 通用 漏洞 评分 系统 (Common Vulunerability 
Scoring System, CVSS)， 企 业 产 品 安全 事件 响应 小 组 (PSIRT) 和 内 部 软件 安全 团队 广泛 使 
用 CVSS 来 对 外 部 发 现 的 软件 漏洞 进行 分 类 。 受 美国 国家 基础 设施 顾问 委员 会 (NIAC) 的 委 
FE, CVSS 支持 全 球 漏洞 披露 框架 。CVSS 目前 是 由 事件 响应 和 安全 小 组 论坛 (FIRST) 维持 
的 ， 过 去 由 许多 公司 (包括 CERT / CC、 思 科 系 统 、DHS/MITRE 、 易 趣 网 、Internet Security 
Systems、 微 软 、Qualys 和 Symantec) 共同 维护 ， 旨 在 为 最 终 用 户 提 供 一 个 综合 评分 (表示 漏 
洞 的 严重 性 和 风险 )。 它 由 指标 和 公式 推导 得 出 。 该 指标 分 成 三 个 不 同 的 类 别 ， 可 以 是 定量 或 
”定性 测定 的 。 基 础 指标 含有 任何 给 定 漏洞 内 部 的 量 ， 这 些 量 不 会 随 着 时 间 的 推移 或 在 不 同 的 
环境 中 而 变化 。 时 间 指 标 包含 了 随 着 其 生命 周期 变化 的 漏洞 的 特征 。 环 境 指标 包含 在 特定 用 
户 的 环境 中 与 实现 相关 的 漏洞 的 特征 。 评 分 是 根据 特定 公式 结合 所 有 度量 值 的 过 程 ， 它 基于 
一 系列 的 指标 (基于 专家 评价 指标 )， 其 描述 如 下 。™ 
。 基 本 得 分 是 由 供应 商 或 发 起 人 为 了 发 布 而 计算 出 的 ， 并且 一 旦 设置 好 ， 就 预计 不 会 改 
变 。 基 本 得 分 也 从 机 密 性 、 完 整 性 和 可 用 性 的 方面 来 计算 。 这 是 时 间 和 环境 指标 修正 
的 基础 。 基 础 得 分 与 最 后 的 得 分 关系 最 大 ， 并 且 代 表 了 漏洞 严重 性 。 

。 时 间 得 分 也 由 供应 商 和 协调 员 计 算 和 发 布 ， 并 修改 基础 分 数 。 它 可 以 介绍 缓解 因素 以 
降低 漏洞 评分 ， 并 且 在 特定 的 时 间 间 隔 作为 一 ET i 时 间 得 分 代表 
在 特定 时 间 点 上 漏洞 的 紧迫 性 。 

。 环 境 得 分 由 最 终 用 户 组 织 计算 并 依据 基础 得 分 和 时 间 得 分 调整 综合 得 分 。 这 种 综合 
分 应 被 视 为 最 后 得 分 ， 并 代表 某 一 时 刻 针对 特定 环境 的 得 分 。 ee rine i 
环境 中 使 用 这 个 分 数 来 判断 响应 的 优先 级 。 

Common Vulnerability Scoring System 2 Calculator 是 一 个 有 用 的 工具 ， 它 可 以 在 美国 国 
家 标准 与 技术 研究 院 (NIST) 的 国家 漏洞 数据 库 网 站 看 到 ， 网 址 为 http://nvd.nist.gov/cvss. 
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cfm?calculator&version=2. 

CVSS 已 成 为 评估 计算 机 系统 安全 漏洞 严重 性 的 行业 标准 。 它 确立 了 关注 漏洞 的 措施 〈 与 
其 他 漏洞 相 比 )， 哪 个 缓解 工作 可 以 优先 。 写 作 本 书 时 ，CVSS 的 版 本 为 2。 

内 部 软件 安全 团队 通常 使 用 CVSS 来 回应 安全 研究 人 员 或 其 他 来 源 提 出 的 软件 漏洞 。 这 
有 助 于 让 漏洞 严重 性 等 级 归 一 化 、 一 致 和 准确 。 分 数 也 用 于 与 客户 交流 ， 承 认 他 们 已 经 购买 
的 产品 中 有 漏洞 ， 该 漏洞 的 严重 性 ， 以 及 你 的 公司 做 了 什么 去 减轻 该 漏洞 ， 包 括 发 布 漏洞 的 
补丁 。 反 过 来 ， 一 名 安全 研究 人 员 可 能 会 使 用 CVSS 评级 系统 为 在 其 软件 产品 中 发 现 漏洞 的 
公司 提供 一 个 风险 评级 ， 从 而 使 供应 商 对 被 披露 的 漏洞 有 更 好 的 认识 ， 让 他 们 的 产品 开发 团 
队 熟 悉 需要 验证 的 细节 。 

应 当 指出 的 是 ，CVSS 不 是 威胁 建 模 方法 ， 它 并 不 用 来 查找 或 减少 攻击 面 或 帮助 指定 的 一 
段 代 码 风险 。 这 是 一 个 风险 评分 系统 ， 它 增加 了 STRIDE 和 DREAD 中 不 存在 的 复杂 性 。 它 
用 来 计算 除了 环境 因素 之 外 产品 发 布 后 的 风险 。 

4.3.3.10 OCTAVE 

OCTAVE (操作 关键 威胁 、 资 产 和 漏洞 评测 ) 是 一 个 非常 复杂 的 风险 方法 ， 由 卡 内 基 梅 
隆 大 学 软件 工程 研究 所 (SEI) Fl SEL 计算 机 应 急 响 应 小 组 (CERT) AERE, OCTAVE 关 
注 组 织 风险 ， 而 不 是 技术 风险 。 它 包括 一 套 工具 、 技 术 以 及 基于 风险 的 信息 安全 战略 评估 与 
规划 方法 。 有 三 个 OCTAVE 方法 : (1) 原始 OCTAVE 法 (构成 OCTAVE 基础 知识 的 主体 ) ; 
(2) OCTAVE-S (针对 较 小 的 组 织 ) ; (3 ) OCTAVE-Allegro (信息 安全 评估 和 保证 的 一 个 简化 
方法 )。 所 有 的 方法 都 有 具体 的 做 法 、 配 置 文件 和 目录 记录 建 模 结果 的 特定 工作 表 。OCTAVE 
方法 建立 在 OCTAVE 标准 上 ， 它 是 风险 驱动 的 并 以 实践 为 基础 的 信息 安全 评估 的 一 个 标准 方 
法 。OCTAVE 标准 确立 了 OCTAVE 方法 使 用 的 基本 原则 和 建立 风险 管理 属性 。™ 

OCTAVE 是 一 个 有 价值 的 结构 化 方法 ， 用 来 记录 和 测量 整体 IT 安全 风险 ,特别 是 因为 
它 涉及 企业 的 IT 和 业务 风险 管理 ， 以 及 记录 完整 系统 周围 的 风险 时 变 得 必要 。 虽 然 软件 安全 
专家 可 参与 评估 ， 因 为 在 开发 过 程 中 也 许 应 该 建立 安全 的 软件 或 过 程 ， 但 它 对 于 在 SDL 流程 
中 针对 特定 风险 与 漏洞 建 模 、 定 义 和 排 名 是 没有 价值 的 。 与 CVSS 评分 相同 ，OCTAVE 不 包 
括 威胁 风险 建 模 ， 它 主要 用 于 枚 举 风 险 。 它 也 比 其 他 大 多 数 风险 评估 和 打分 方法 复杂 得 多 。 
OCTAVE 的 综合 版 本 (不 同 于 小 型 组 织 的 OCTAVE-S) 定义 的 “可 能 性 ”假设 威胁 总 是 会 发 
生 ， 这 并 不 适用 于 许多 大 型 组 织 。 由 于 这 些 原 因 ， 它 是 一 种 不 太 可 能 用 于 整个 软件 开发 生命 
周期 的 方法 。 

4.3.3.11 AS/NZS ISO 31000:2009 

澳大利亚 / 新西兰 标准 AS/NZS 4360 于 1999 年 首次 发 布 ，2004 年 修订 ， 是 世界 上 记录 和 
管理 风险 第 一 个 正式 标准 ， 也 是 管理 风险 为 数 不 多 的 正式 标准 之 一 。® AS/NZS ISO 31000:2009 
是 2009 年 11 H 20 日 发 布 的 一 个 较 新 标准 ， 用 于 管理 风险 并 取代 AS/NZS 4360:2004, "° 

ISO 31000:2009 提供 了 风险 管理 的 原则 和 一 般 准则 ， 可 用 于 任何 公共 、 私 人 或 社会 企 
业 、 协 会 、 团 体 或 个 人 ， 而 不 是 针对 任何 行业 或 部 门 。 它 可 以 应 用 于 整个 组 织 的 生命 周 
期 ， 并 可 以 应 用 于 广泛 的 活动 ,包括 战略 和 决策 、 操 作 、 流 程 、 功 能 、 项 目 、 产 品 、 服 务 
及 资产 。 它 也 可 以 应 用 到 任何 类 型 的 风险 ， 不 论 其 性 质 ， 不论 具有 正面 或 负面 后 果 。 尽 管 
ISO 31000:2009 提供 了 通用 准则 ,但 是 它 的 目的 不 是 要 促进 整个 组 织 风险 管理 的 一 致 性 。 风 
险 管理 计划 和 框架 的 设计 和 实施 都 需要 考虑 到 一 个 特定 组 织 不 同 的 需要 ， 其 特定 的 目标 、 背 
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景 、 结 构 、 操 作 、 流 程 、 功 能 、 项 目 、 产 品 、 服 务 或 资产 ， 以 及 具体 做 法 的 不 同 需求 。ISO 
31000:2009 用 来 协调 现 有 的 和 未 来 标准 中 的 风险 管理 流程 。 它 提供 了 一 个 通用 方法 ， 以 支持 
应 对 特定 风险 和 /或 行业 标准 的 管理 ， 但 并 不 会 取代 这 些 标 准 。™” 

ISO 31000:2009 没有 定义 方法 来 进行 结构 化 的 威胁 风险 建 模 ， 或 结构 化 的 方法 来 指定 应 
用 软件 的 安全 风险 ， 并 评估 业务 或 系统 性 风险 ， 而 不 是 技术 风险 。 正 如 OCTAVE， 这 种 方法 
很 可 能 由 一 个 集中 的 企业 风险 管理 团队 来 使 用 。 虽 然 软 件 安全 专家 可 参与 评估 ， 因 为 用 于 在 
开发 过 程 中 建立 软件 安全 性 的 软件 或 过 程 也 许 在 其 使 用 范围 内 ， 但 它 是 不 太 可 能 是 用 于 SDL 
中 的 主要 风险 方法 ， 因 为 它 在 SDLC 流程 中 对 于 特定 风险 和 漏洞 建 模 、 定 义 和 排名 是 没有 价 
值 的 。 


4.3.4 风险 缓解 


在 您 移动 到 风险 缓解 期 前 ， 在 威胁 建 模 过 程 中 需要 创建 一 个 包括 STRIDE 或 其 他 类 似 方 
法 的 高 风险 漏洞 的 主 列表 。 这 将 给 你 一 个 优先 列表 ， 你 可 以 按照 这 个 列表 制定 缓解 计划 。 

有 四 种 方法 可 以 计划 减缓 和 应 对 威胁 :™ 

1. 重新 设计 过 程 以 消除 威胁 。 

2. 作为 一 般 性 建议 应 用 标准 的 缓解 方法 。 

3. 发 明 一 种 新 的 缓解 策略 (高 风险 且 耗 时 ) 

4. 接受 低 风 险 、 非 常 费劲 才能 解决 的 安全 漏洞 。 

对 那些 在 STRIDE 或 应 用 程序 安全 框架 (ASF) 无 对 策 的 漏洞 威胁 进行 分 类 ， 并 对 每 个 类 
别 中 特定 的 威胁 给 出 对 策 。OWASP 有 两 个 清单 ， 虽 然 没 有 包容 性 ， 但 可 以 作为 这 一 活动 的 
重大 方针 。 这 两 个 列表 都 可 以 在 https://www.owasp.org/index.php/Application_Threat_Modeling 
找到 ， 并 且 在 下 面 对 相 应 的 缓解 技术 进行 了 描述 。 

STRIDE 威胁 和 缓解 技术 列表 

伪造 身份 

。 适 当 的 身份 验证 

。 保 护 机 密 数 据 

。 不 要 存储 机 密 

算 改 数据 

。 适 当 的 授权 

。 散 列 

e MAC 

。 数 字 签 名 

。 防 算 改 协议 

否认 

。 数字 签名 

© Fy Ta) ak 

。 审 计 跟 踊 

信息 披露 

。 授权 
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。 保 密 增强 协议 

。 加 密 

。 保 护 机 密 

。 不 要 存储 机 密 

拒绝 服务 

。 适 当 的 身份 验证 

。 适 当 的 授权 

。 过 滤 

。 节 流 

。 服务 质量 

特权 提升 

。 使 用 最 低 权限 运行 

ASF 的 威胁 和 对 策 列表 

身份 验证 

1. 在 存储 和 运输 中 对 证 书 和 身份 验证 令 牌 进行 加 密 保护 。 
2. 协议 可 以 抵抗 暴力 破解 、 字 典 和 重复 攻击 。 

3. 强制 执行 强 密码 策略 。 

4. 用 可 信服 务 器 身份 验证 来 代替 SQL 身份 验证 。 

5. 用 散 列 方法 (salted hash) 存储 密码 。 

6. 重 设 密码 时 不 泄露 密码 的 提示 和 有 效 的 用 户 名 。 
授权 

1. 严格 的 ACL 用 来 强制 授权 访问 资源 。 

2. 基于 角色 的 访问 控制 用 来 限制 访问 特定 的 操作 。 

3. 该 系统 遵循 用 户 和 服务 账户 的 最 低 权 限 原 则 。 

4. 特权 分 离 在 表示 层 业 务 层 和 数据 访问 层 中 正确 配置 。 
配置 管理 

1. 最 小 特权 进程 的 使 用 和 服务 账户 没有 管理 能 力 。 

2. 启用 所 有 管理 活动 的 审计 与 日 志 记录 功能 。 

3. 配置 文件 和 管理 员 界 面 的 访问 仅 限于 管理 员 。 

存储 和 传输 中 的 数据 保护 

1. 使 用 标准 的 加 密 算法 和 正确 的 密 钥 长 度 。 

2. 散 列 的 消息 认证 码 (HMAC) 用 来 保护 数据 的 完整 性 。 
3. 机 密 (如 密 钥 、 机 密 数 据 ) 无 论 是 在 运输 和 存储 过 程 中 都 被 加 密 保护 。 
4. 内 置 安全 存储 用 于 保护 密 钥 。 

5. 无 凭据 和 敏感 数据 以 明文 形式 发 送 。 
数据 验证 / 参数 验证 

1. 强制 检查 数据 类 型 、 格 式 、 长 度 和 范围 。 

2. 从 客户 端 发 送 的 所 有 数据 将 被 验证 。 

3. 没有 安全 决定 基于 可 操作 的 参数 (例如 ，URL 参数 )。 
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4. 使 用 通过 白 名单 验 证 的 输入 过 滤 。 

5. 使 用 输出 编码 。 

错误 处 理 和 异常 管理 

1. 所 有 异常 使 用 结构 化 的 方式 进行 处 理 。 

2. 在 发 生 错 误 和 异常 的 时 候 权 限 都 将 恢复 到 适当 水 平 。 
3. 错误 消息 被 清洗 ， 这 样 就 没有 任何 敏感 信息 被 泄露 给 攻击 者 。 
用 户 和 会 话 管理 

1. 没有 敏感 信息 明文 存储 在 cookie 中 。 

2. 身份 验证 cookie 的 内 容 进行 加 密 。 

. cookies 配置 到 期 。 

会 话 能 够 抵抗 重 放 攻 击 。 

安全 的 沟通 渠道 用 来 保护 身份 验证 cookie。 

执行 关键 功能 时 ， 强 制 用户 重 新 进行 身份 验证 。 

会 话 过 期 时 注销 。 

审计 和 日 志 记 录 

1. 不 记录 敏感 信息 (如 密码 、PII)。 

2. 访 问 控 制 (例如 ，ACL) 被 强制 记录 在 日 志文 件 中 以 防止 未 经 授权 的 访问 。 

3. 完整 性 控制 (例如 ， 签 名 ) 被 强制 记录 在 日 志文 件 中 以 提供 不 可 抵赖 性 。 

4. 日 志文 件 为 敏感 操作 和 关键 事件 的 记录 提供 审计 线索 。 

5. 审计 和 日 志 记 录 在 各 层 启用 的 多 台 服 务 器 上 。 

在 你 已 经 确定 了 软件 的 威胁 和 相关 的 缓解 战略 以 及 对 风险 进行 了 排名 后 ， 对 于 威胁 建 模 / 
架构 安全 分 析 过 程 中 发 现 的 每 个 威胁 就 有 可 能 给 出 一 个 缓解 威胁 的 框架 。 下 列 标准 是 用 来 给 
最 终 名 单 完 成 分 类 的 。 

。 完 全 缓解 的 威胁 : 威胁 具有 相应 的 对 策 ， 并且 不 再 暴露 漏洞 或 造成 影响 。 

。 部 分 缓解 的 威胁 : 威胁 使 用 一 个 或 一 个 以 上 的 对 策 被 部 分 缓解 ， 这 表示 可 以 漏洞 仅 可 

以 被 部 分 利用 ， 并且 造成 有 限 的 影响 。 

。 未 缓解 威胁 : 威胁 没有 对 策 ， 并 表示 可 以 得 到 充分 利用 的 漏洞 ， 并 造成 影响 。"™" 

既然 你 已 经 将 你 的 威胁 归 类 到 在 上 述 三 类 中 的 一 个 ， 你 就 可 以 选择 对 应 的 战略 方法 。 可 
以 选择 以 下 五 个 操作 之 一 : 

1. 什么 也 不 做 ， 例 如 : 抱 最 好 的 希望 。 

2. 了 解 有 关 的 风险 : 例如 ， 警告 有 关 风 险 的 用 户 群 。 

3. 降低 风险 : 例如 ， 通 过 实施 应 对 措施 。 

4. 接受 风险 : 例如 ， 评 估 威 胁 被 利用 的 影响 (业务 影响 )。 

5. 转移 风险 : 例如 ， 通 过 合同 协议 和 保险 。™ 

该 使 用 上 述 策略 中 哪 一 个 取决 于 如 下 几 个 因素 。 

。 某 一 威胁 被 利用 造成 的 影响 。 

。 发 生 的 可 能 性 。 

。 转 换 的 成 本 ( 即 保险 成 本 ) 或 者 避免 成 本 ( 即 重 新 设计 的 成 本 或 损失 )。™™ 

在 这 个 意义 上 ， 风 险 是 一 个 确定 威胁 的 情况 (由 于 潜在 存在 的 参与 者 、 动 机 以 及 具有 显 
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著 概率 的 和 业务 影响 的 漏洞 ) 。 威 胁 的 风险 不 是 问题 ， 而 标识 具有 显著 的 业务 影响 的 严重 风险 
才 是 问题 。 威 胁 的 概率 是 分 开 考 虑 的 ， 因 为 它 是 受 参 与 者 的 动机 和 具体 细节 ， 以 及 影响 漏洞 
的 外 部 因素 。 业 务 影响 也 是 风险 一 个 重要 组 成 ， 它 被 参与 者 的 类 型 (可 以 是 国家 、 产 业 或 罪 
犯 ) 以 及 漏洞 的 具体 细节 所 影响 。 这 可 以 用 图 4-9 来 表示 。 


EEC 人 


图 4-9 风险 的 元 素 


本 节 已 经 给 出 了 一 些 可 以 用 来 评估 威胁 ， 排 名 风险 ， 并 制定 风险 缓解 计划 的 选项 和 标准 
方法 ， 该 过 程 如 图 4-10 所 示 。 
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图 4-10 ”软件 安全 风险 评估 的 一 种 整体 方法 


底线 是 风险 评估 是 对 企业 经 营 风险 和 结果 的 取舍 ， 因 为 它 涉 及 软件 的 安全 风险 ， 系 统 与 
它 的 交互 ， 以 及 整体 业务 风险 管理 策略 。 安 全 专业 人 士 了 解 这 一 点 是 很 重要 的 ， 这 就 是 为 什 
么 我 们 使 用 两 种 主流 整体 业务 风险 评估 方法 ， 以 专注 于 信息 安全 风险 ， 尤 其 是 OCTAVE 和 
AS/NZS ISO 31000:2009。 与 软件 是 生态 系统 的 一 部 分 类 似 ， 用 于 安全 软件 开发 的 风险 评估 方 
法 也 会 影响 与 整体 业务 风险 管理 方法 的 交互 ， 这 些 领域 是 软件 风险 分 析 需 要 考虑 的 一 部 分 。 

最 终 ， 这 将 是 一 个 商业 决定 。 这 就 是 为 什么 只 有 在 修复 漏洞 的 成 本 低 于 利用 此 漏洞 导致 
潜在 的 业务 影响 时 ， 决 定 才 可 能 是 修复 漏洞 。 这 也 就 是 为 什么 还 有 另 一 项 决定 : 接受 风险 ( 当 
缺失 一 些 安 全 控制 (如 机 密 性 、 完 整 性 和 可 用 性 ) 的 风险 只 涉及 一 小 部 分 服务 而 不 会 丧失 一 个 
关键 的 业务 功能 时 )。 


44 开源 选择 


目前 软件 行业 有 日 益 增 加 的 趋势 ， 在 过 去 几 年 中 开源 软件 和 专 有 软件 以 最 低 的 成 本 提供 
最 高 价值 的 服务 。 两 者 的 融合 称 为 “ 混 源 ”， 这 已 经 成 为 行业 的 主导 做 法 。 因 为 开源 成 为 软件 
开发 领域 越 来 越 大 的 部 分 ， 所 以 了 解 和 管理 软件 资产 的 授权 将 是 至 关 重 要 的 ， 但 是 这 超出 了 
我 们 的 讨论 范围 ， 这 将 会 被 别 的 软件 开发 团队 处 理 。 

关于 开源 软件 会 增加 软件 的 安全 性 还 是 会 不 利于 它 有 一 个 正在 进行 的 讨论 ,但 底线 是 ， 
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你 要 导入 软件 到 你 的 软件 应 用 程序 或 解决 方案 中 ， 而 你 的 公司 没有 开发 或 者 安全 监督 权 。 这 
将 需要 一 个 广泛 的 审查 一 一 通常 称 为 第 三 方 安全 评估 ， 该 评估 将 由 你 的 软件 安全 架构 师 、 第 
三 方 组 织 ， 或 两 者 的 结合 来 进行 。 虽 然 很 容易 依靠 工具 和 开源 开发 过 程 的 粗略 审查 。 但 是 如 
果 没 有 适当 的 训练 和 经 验 ， 很 容易 得 到 错误 的 结果 ， 难 以 形成 一 个 可 操作 的 修复 策略 。 这 就 
是 高 级 软件 安全 架构 师 或 第 三 方 组 织 必须 参与 这 一 审查 过 程 的 原因 。 他 们 有 多 年 的 代码 安全 
审计 经 验 ， 有 定期 审查 高 度 复 杂 和 先进 的 软件 安全 和 架构 的 挑战 ， 知 道 如 何 识 别 和 检查 设计 
中 的 薄弱 环节 ， 并 能 发 现 可 能 导致 安全 的 缺陷 。 如 果 没 有 适当 的 训练 和 经 验 ， 很 容易 导致 错 
误 ， 并 且 难 以 形成 必要 的 可 操作 的 补救 策略 。 从 本 质 上 讲 ， 对 软件 产品 中 使 用 的 任何 开源 软 
件 或 组 件 的 审查 ， 都 需要 由 经 验 丰富 的 软件 安全 架构 师 进 行 工 具 评估 、 进 一 步 的 威胁 建 模 和 
风险 评估 。 


4.5 隐私 信息 收集 和 分 析 


考虑 到 系统 是 否 能 够 传输 、 存 储 、 创 建 隐 私信 息 在 SDLC 早期 是 很 重要 的 。 信 息 收集 、 
辨识 以 及 规划 实施 适当 的 保障 措施 和 安全 控制 (包括 解决 隐私 信息 事件 处 理 和 报告 需求 的 流 
程 ) 都 是 在 这 个 阶段 决定 的 。SDL 的 这 个 阶段 就 是 对 隐私 影响 评估 (PIA) 的 信息 收集 和 分 析 
的 开始 。 分 析 阶 段 决定 了 PII 将 如 何 处 理 ， 以 确保 其 符合 有 关 隐 私 的 法 律 、 法 规 和 政策 规定 ; 
软件 和 开发 的 整个 系统 中 ,收集 、 维 护 、 以 可 识别 的 形式 传播 隐私 信息 的 风险 和 影响 ,或 在 
云 或 SaaS 环境 中 与 它 交接 的 风险 和 影响 。 检 查 和 评估 保护 和 处 理 用 于 减轻 潜在 的 隐私 风险 的 
信息 的 替代 过 程 。 


4.6 成 功 的 关键 因素 和 度量 标准 


4.6.1 成 功 的 关键 因素 


SDL 第 二 阶段 的 成 功 取决 于 SDLC 如 何 同步 识别 威胁 、 要 求 ， 约 束 功 能 和 集成 ， 以 及 减 
轻 风 险 。 第 二 阶段 的 关键 成 功 因素 见 表 4-1。 


表 4-1 关键 成 功 因素 


关键 成 功 因 素 Hi R 
1. 确定 业务 需求 和 风险 按 CIA 定义 的 业务 需求 和 风险 的 映射 
2. 有 效 的 威胁 建 模 识别 软件 威胁 
3. 有 效 的 架构 威胁 分 析 分 析 软 件 威胁 和 威胁 出 现 的 概率 
4. 有 效 的 风险 缓解 策略 每 二 个 业务 需求 的 风险 接受 、 容 忍 和 缓解 计划 
5. DFD 的 准确 度 威胁 建 模 中 使 用 的 数据 流 图 


成 功 因素 1: 确定 业务 需求 和 风险 

在 这 个 阶段 ， 关 键 的 利益 相关 者 ， 包 括 软件 安全 团队 明确 了 业务 风险 和 要 求 。 业 务 需 求 
通过 信息 安全 的 CIA 支柱 定义 。 成 功 SDL 周期 的 当务之急 是 ， 尽 可 能 确定 所 有 的 要 求 并 且 捕 
获 需 求 。 

成 功 因素 2: 有 效 的 威胁 建 模 

有 效 的 威胁 建 模 中 是 一 个 复杂 和 艰巨 的 任务 ， 威 胁 建 模 的 整个 风险 缓解 计划 取决 于 这 个 
任务 。 威 胁 模 型 的 任何 间隙 会 导致 软件 和 /或 部 署 中 缺乏 有 效 的 安全 控制 。 
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成 功 因 素 3: 有 效 的 架构 威胁 分 析 

架构 威胁 分 析 可 以 识别 威胁 并 按 优先 顺序 排列 它们 。 至 关 重 要 的 是 ， 所 有 的 威胁 向 量 导 
致 风险 的 确定 和 优先 级 排列 。 

成 功 因 素 4: 有 效 的 风险 缓解 策略 

威胁 建 模 和 威胁 分 析 的 关键 是 风险 接受 度 、 宽 容 度 和 风险 缓解 计划 。 至 关 重 要 的 是 ， 企 
业 的 风险 接受 度 和 宽容 度 将 进行 彻底 审查 ， 包 括 通过 法 律 和 财务 的 方法 。 

成 功 因 素 5: DFD 的 准确 度 

DFD 是 在 威胁 建 模 中 用 于 识别 感 兴趣 的 各 种 组 件 /元 素 的 方法 。DFD 应 尽 可 能 详细 。 任 
何 假设 都 应 该 仔细 审查 。 具 体 来 说 ,信任 边 界 (客户 端 / 服务器 、 私 有 /公共 基础 设施 、 分 层 
架构 ) 等 应 妥善 记录 和 审查 。 


4.6.2 ”可 交付 成 果 
K 4-2 列 出 了 SDL 这 个 阶段 的 可 交付 成 果 。 
表 4-2 A2 阶段 的 可 交付 成 果 


可 交付 成 果 H tp 
业务 需求 软件 需求 ， 包 括 CIA 
威胁 建 模 工件 数据 流 图 、 元 素 、 威 胁 列表 
架构 威胁 分 析 基于 威胁 分 析 的 威胁 和 风险 的 优先 级 
风险 缓解 计划 计划 去 缓解 、 接 受 或 者 容忍 风险 
政策 符合 性 分 析 遵守 公司 政策 的 分 析 


业务 需求 

正式 的 业务 需求 是 一 个 工件 ， 它 列 出 软件 需求 和 业务 风险 ， 这 些 需 求 和 风险 映射 到 信息 
安全 的 三 大 支柱 : 机 密 性 、 完 整 性 和 可 用 性 。 

威胁 建 模 工件 

这 是 SDL 阶段 的 一 个 重要 组 成 部 分 ， 有 一 些 工 件 来 自 该 步 又 。 重 点 工件 包括 数据 流 图 、 
技术 威胁 建 模 报告 、 高 层次 的 执行 威胁 建 模 报告 、 威 胁 清单 以 及 威胁 分 析 建 议 。 

架构 威胁 分 析 

”SDL 这 一 步 的 关键 工件 是 概述 威胁 物化 风险 的 工件 。 这 一 步 需 要 的 另 一 个 工件 的 是 威胁 
排名 /优先 级 。 

风险 缓解 计划 

风险 缓解 计划 列 出 了 风险 〈 和 威胁 )， 以 及 缓解 、 接 受 或 容忍 的 方法 。 对 于 每 个 类 别 ， 它 
也 概述 了 缓解 风险 的 措施 。 最 后 ， 这 份 报告 应 在 该 项 目的 实际 工作 开始 之 前 提交 给 企业 用 于 
签字 。 

政策 符合 性 分 析 

这 个 工件 是 一 个 报告 ， 它 应 该 符合 公司 不 同 的 安全 和 非 安 全 策略 ， 例 如 ， 待 开发 软件 如 
何 符合 信息 安全 策略 、 数 据 治理 策略 、 数 据 保 留 和 加 密 技 术 政策 等 。 


46.3 ”度量 标准 
以 下 指标 应 收集 和 记录 在 SDL 周期 的 第 2 阶段 。 
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。 业 务 威 胁 、 技 术 威 胁 (映射 到 业务 威胁 ) 和 威胁 参与 者 的 列表 。 
。 这 个 阶段 之 后 不 满足 的 安全 目标 个 数 。 

。 遵 守 公 司 ( 现 有 ) 政策 的 百分比 。 

。 软件 入 口 点 的 数量 (使 用 的 DFD). 

© 风险 (和 威胁 ) 接受 、 减 轻 和 容忍 的 百分比 。 

。 重 新 定义 的 初始 软件 需求 百分比 。 

。 产品 中 计划 的 软件 体系 结构 (主要 和 次 要 ) 的 变化 数量 。 

。 根据 安全 要 求 所 需 的 软件 体系 结构 更 改 数量 。 
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SDL 模型 中 体系 结构 (A2 ) 阶段 的 主要 目标 是 从 安全 的 角度 确定 软件 的 总 体 要 求 和 结构 。 
这 个 阶段 的 关键 要 素 是 从 架构 的 角度 来 看 的 软件 攻击 面 威胁 建 模 以 及 元 素 说 明文 件 ; KER 
构 和 设计 准则 的 定义 ; 持续 的 安全 性 、SDL、 隐 私 政策 ， 以 及 要 求 的 合 规 审 查 ; 软件 产品 的 
安全 性 发 布 需 求 。 

这 些 最 佳 实践 将 导致 从 安全 的 角度 来 看 软件 整体 结构 的 定义 。 它 们 确定 了 其 正常 运行 对 
安全 性 至 关 重 要 的 组 件 ， 还 确定 了 适用 于 软件 产品 架构 (包括 最 低 权限 的 应 用 程序 ) 的 相应 安 
全 设计 技术 ， 最 小 化 软件 产品 的 攻击 面 和 任何 基础 设施 。 虽 然 较 高 层 将 会 取决 于 较 底 层 的 服 
务 ， 但 是 下 层 不 能 取决 于 较 高 层 。 虽 然 安全 性 体系 结构 确定 了 一 个 整体 的 安全 性 设计 ， 但 是 
该 体系 结构 的 各 个 元 素 的 具体 设计 还 是 要 按照 个 别 的 设计 规格 进行 详细 说 明 。 

攻击 面 的 各 个 独立 元 素 的 识别 和 测量 给 开发 和 软件 安全 团队 提供 了 一 个 正在 进行 的 安全 
度量 ， 使 它们 能 够 检测 该 软件 容易 受到 攻击 的 实例 。 在 这 个 阶段 ， 所 有 可 以 用 来 减少 攻击 面 
的 异常 必须 进行 审查 ， 因 为 我 们 的 目标 是 为 正在 开发 的 软件 产品 最 大 限度 地 提高 安全 性 。 威 
胁 建 模 在 组 件 对 组 件 层 面 采 用 了 结构 化 的 方法 来 确定 该 软件 必须 管理 的 资产 ， 以 及 通过 哪些 
接口 访问 资产 。 在 威胁 建 模 期 间 任 何 捕获 到 可 能 对 资产 产生 威胁 的 可 能 性 都 必须 要 视 作 一 种 
风险 测量 。 用 于 降低 风险 的 对 策 或 补偿 控制 也 在 此 阶段 确定 。 在 适当 的 和 可 行 的 环境 下 ， 应 
该 利用 工具 捕获 以 机 器 可 读 形式 存储 和 更 新 的 威胁 模型 。 在 SDL 的 这 一 阶段 同时 还 定义 了 具 
体 的 软件 安全 准则 。 

本 章 最 后 讨论 了 关键 的 成 功 要 素 、 其 重要 性 、 该 阶段 的 可 交付 成 果 以 及 应 该 在 此 阶段 收 
集 的 指标 。 
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设计 和 开发 (A3 ): SDL 活动 与 最 佳 实践 





设计 和 开发 (A3 ) 阶段 ( 见 图 5-1) 是 软件 最 终 用 户 最 为 关心 的 部 分 。 在 这 个 阶段 你 会 做 
策略 一 致 性 分 析 ， 创 建 测试 计划 文档 ， 更 新 威胁 模型 (根据 需要 )， 进 行 安全 性 设计 分 析 和 总 
结 ， 以 及 做 隐私 实施 评估 等 ， 帮 助 你 妥 全 地 部 署 软 件 、 建 立 开 发 最 佳 实践 ， 从 而 在 开发 阶段 
的 早期 消除 安全 问题 和 隐私 问题 。 你 将 会 在 SDL 的 设计 和 开发 (A3 ) 以 及 发 布 (A4 ) 阶段 进 
行 静态 分 析 。 下 一 章 会 提供 一 个 关于 静态 分 析 的 详细 描述 。 你 将 能 够 构建 一 个 计划 来 使 你 的 
项 目 能 够 通过 SDL 处 理 剩 下 部 分 ， 包 括 实 施 、 验 证 以 及 最 终 发 布 。 在 设计 和 开发 (A3 ) 过 程 
中 ， 通 过 使 用 功能 和 设计 规范 ， 你 能 够 构建 最 佳 的 实践 。 


5.1 A3 策略 一 致 性 分 析 


如 第 4 章 所 述 ，A3 的 策略 一 致 性 分 析 是 对 A2 策略 一 致 性 分 析 的 延续 。 在 这 个 阶段 ， 会 
对 SDL 域外 部 的 所 有 策略 进行 评估 。 这 是 为 了 保证 公司 外 部 的 开发 机 构 在 软件 开发 过 程 中 遵 
守 公 司 内 部 的 安全 和 隐私 需求 以 及 开发 指南 。 公 司 的 安全 和 隐私 策略 会 对 需要 达到 的 安全 和 
隐私 特征 进行 描述 ， 并 指导 设计 人 员 和 开发 人 员 如 何 实现 这 些 特征 。 其 他 策略 可 能 针对 公司 
内 部 或 公司 外 部 在 软件 中 使 用 的 第 三 方 或 开源 软件 的 管理 ， 控 制 源 代 码 以 及 其 他 智力 成 果 。 
假如 软件 安全 组 是 与 集中 的 信息 安全 组 是 分 开 的 ， 那 么 两 个 组 都 要 基于 所 有 的 原则 和 策略 进 
行 协作 是 很 重要 的 ， 包 括 开 发 、 版 本 发 布 后 的 安全 支持 以 及 产品 的 反馈 。 同 样 重要 的 是 在 隐 
私 功能 上 的 合作 ， 无论 是 集中 式 组 还 是 外 部 法 律 决 策 。 
5.2 ”安全 测试 计划 构成 

测试 活动 用 来 验证 产品 发 布 后 的 安全 措施 是 否 能 有 效 降 低 客户 或 恶意 用 户 发 现 安全 问题 
的 可 能 。 软 件 通 过 安全 测试 、 工 件 (artifact)、 报 告 和 工具 对 软件 的 安全 性 进行 验证 。 我 们 的 
目的 不 是 为 了 证 明 产 品 不 安全 ， 而 是 在 产品 提供 给 客户 前 保证 软件 的 健壮 性 和 安全 性 。 这 些 
安全 测试 方法 确实 能 发 现 安全 bug， 尤 其 是 在 那些 没有 经 历 关键 的 安全 开发 流程 变更 的 产品 
中 。 安 全 测试 和 评估 的 结果 也 可 能 在 安全 控制 中 发 现 缺陷 ， 安 全 控制 用 于 保护 正在 开发 的 软 
件 。 因 此 需要 制定 详细 的 行动 计划 和 里 程 碑 进度 ， 以 记录 计划 的 整改 措施 ， 进 而 增强 安全 控 
制 的 有 效 性 ， 并 在 软件 发 布 之 前 提供 必要 的 安全 措施 。 

正如 第 4 章 讨 论 的 风险 分 析 方 法 ， 从 整体 上 确保 安全 测试 的 有 效 性 是 很 有 必要 的 。 安 全 
测试 通过 设计 和 代码 分 析 、 软 件 行为 调查 确认 该 软件 符合 安全 要 求 。 换 句 话 说， 安全 测试 是 
为 证 明 软 件 功能 被 需求 覆盖 ， 而 每 个 需求 都 至 少 要 有 一 个 测试 用 例 进 行 测 试 。 需 求 总 数 和 已 
经 测试 的 需求 数量 可 以 通过 测试 用 例 和 功能 需求 进行 跟踪 ; 已 测试 需求 占 需求 总 量 的 比例 将 
成 为 测试 需求 的 指标 。 
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安全 测试 的 另 一 个 要 素 是 识别 软件 缺陷 ， 以 避免 安全 违规 和 不 遵守 安全 要 求 的 情况 ， 从 
而 导致 软件 出 现 故障 或 不 符合 软件 安全 性 需求 。 正 如 4.3.3 节 所 述 ， 由 于 资源 有 限 ， 安 全 测 
试 计划 往往 集中 在 软件 中 关键 的 需求 条 目 上 。 一 个 主 测试 计划 用 于 勾勒 整个 测试 过 程 的 概况 ， 
并 且 为 单项 测试 阶段 和 各 个 模块 增加 详细 的 测试 计划 。 

虽然 基于 需求 的 传统 测试 对 于 验证 软件 实现 的 安全 性 功能 的 正确 性 和 充分 性 是 必要 的 ， 
但 是 再 多 的 测试 也 不 能 充分 证 明 软 件 是 没有 漏洞 的 ; 任何 这 样 的 测试 只 能 提供 一 部 分 观点 以 
证 明 软件 的 安全 性 。 即 使 稳定 性 最 强 的 安全 需求 也 无 法 涵盖 现实 世界 中 所 有 可 能 出 现 的 情况 ， 
也 无 法 观测 到 软件 在 异常 条 件 或 不 良 条 件 下 的 反应 。 

通常 情况 下 ， 基 于 需求 和 风险 的 软件 安全 测试 的 缺点 可 以 概括 如 下 。 

。 在 开发 中 你 遇 到 的 软件 威胁 性 质 的 变化 的 情况 ， 可 能 会 导致 发 布 前 和 发 布 后 出 现 新 的 

攻击 方法 。 

。 作 为 一 个 SaaS 或 者 基于 云 的 解决 方案 的 功能 组 件 ， 你 的 软件 可 能 改变 其 物理 位 置 ， 从 

而 改变 了 攻击 面 ， 因 此 需要 新 的 安全 补丁 或 安全 措施 。 

。 在 当今 竞争 激烈 和 快速 变化 的 环境 中 ， 在 软件 准备 测试 的 时 候 ， 基 于 需求 的 设计 假设 
可 能 已 过 时 。 

。 其 他 因素 经 常 频繁 改变 ， 并 有 可 能 远 快 于 你 能 够 跟 进 的 速度 。 

。 如 果 软 件 准 备 使 用 第 三 方 组 件 ， 在 项 目 实施 初期 规划 的 架构 可 能 无 法 适用 于 未 来 的 版 
本 。 

。 最 初 的 设计 无 法 考虑 到 由 于 设计 变更 而 导致 的 安全 漏洞 ， 或 者 新 的 版 本 带 来 的 漏洞 。 

这 个 列表 强调 ， 在 本 节 中 描述 的 基于 风险 的 安全 测试 为 什么 要 始终 优 于 基于 需求 的 传统 
测试 。 

正如 前 面 提 到 的 贯穿 本 书 的 主题 所 述 ， 比 起 在 完成 编码 ， 甚 至 更 糟糕 的 情况 一 一 完成 部 
署 后 一 一 再 去 纠正 安全 问题 ， 在 软件 生命 周期 早期 就 将 安全 “构建 ” 进 软件 成 本 要 低 得 多 。 
这 就 是 为 什么 要 从 SDL/SDLC 过 程 的 早期 到 软件 生命 周期 的 结束 都 要 严格 执行 安全 检查 和 测 
试 的 原因 。 

从 软件 安全 测试 的 角度 来 看 ， 测 试 者 就 是 攻击 者 。 构 建 对 软件 滥用 和 误 用 的 测试 场景 ， 
结合 已 知 的 攻击 方法 ， 发 现 技术 和 威胁 模型 中 无 效 的 部 分 。 通 过 全 面 的 测试 场景 和 测试 用 例 ， 
就 可 以 获得 测试 结果 。 可 以 肯定 的 是 ， 在 前 一 阶段 开发 的 所 有 不 合适 的 测试 用 例会 被 执行 和 
全 面 测试 。 如 果 在 每 个 迭代 开发 阶段 都 进行 测试 ， 在 SDL 的 早期 就 会 发 现 大 量 的 设计 缺陷 ， 
这 个 阶段 发 现 的 问题 将 会 占 整 个 阶段 发 现 问 题 的 95%。 中 

测试 环境 只 是 与 部 署 环境 应 尽 可 能 一 致 ， 并 且 完 全 隔离 。 还 应 该 对 配置 进行 严格 的 管理 
和 控制 ， 防 止 测试 数据 、 测 试 工具 、 集 成 测试 环境 、 测 试 计划 、 原 始 和 最 终 的 测试 结果 被 
破坏 。 同 样 重要 的 是 ， 要 确保 每 个 软件 漏洞 中 用 到 的 工具 集 和 测试 技术 都 适用 于 当前 的 被 
WAZ. 

安全 性 测试 和 功能 性 测试 都 需要 执行 代码 来 验证 结果 。 测 试 也 并 不 总 是 自动 的 ， 通 常 需 
要 经 验 丰富 的 软件 安全 架构 师 进行 人 工 干预 。 由 于 某 些 软 件 生态 系统 内 部 的 复杂 性 和 交互 性 ， 
比如 SaaS 或 云 环境 ， 因 此 需要 专家 确认 测试 方法 是 否 能 够 适用 于 更 大 的 范围 。 

正如 前 面 所 提 到 的 ， 测 试 计划 列 出 了 需要 测试 的 功能 ， 需 要 保护 的 对 象 ， 以 及 应 用 程序 
将 如 何 应 对 特定 的 攻击 。 测 试 计划 是 项 目 管理 团队 、 开 发 团队 和 安全 团队 共同 努力 的 结果 ， 
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除 此 之 外 ， 还 要 描述 测试 计划 的 逻辑 流程 ， 包 括 谁 来 执行 测试 以 及 测试 的 开始 时 间 和 结束 
时 间 。 
下 面 列 出 了 实现 测试 计划 的 通用 步骤 (无 论 使 用 什么 策略 、 框 架 或 标准 )。 
。 定 义 测 试 脚本 。 脚 本 是 非常 详细 且 包 括 测试 逻辑 步骤 的 指令 集 ， 用 于 告诉 测试 人 员 或 
测试 工具 在 测试 期 间 做 什么 。 功 能 测试 脚本 是 一 步 一 步 的 指令 ， 描 绘 了 一 个 特定 的 场 
景 或 情景 ， 包 括 将 会 遇 到 的 情况 和 预期 的 结果 。 安 全 测试 脚本 是 专门 用 于 测试 应 用 程 
序 安 全 性 的 脚本 。 这 些 脚本 的 依据 来 源 于 在 设计 阶段 生成 的 威胁 模型 。 误 用 用 例 定 义 
那些 需要 保护 (资源 )， 什 么 类 型 的 攻击 可 以 访问 这 些 资 源 。 安 全 测试 脚本 定义 了 执行 
这 些 攻击 的 行为 。 
。 定义 用 户 社区 。 定 义 用 户 社区 帮助 测试 人 员 识 别 错误 和 风险 的 可 接受 程度 。 
。 识别 项 目 障碍 物 。 用 例 中 需要 定义 必 备 的 和 “如 果 可 用 ”的 情景 。 如 果 没 有 定义 ， 就 
需要 重新 审视 测试 需求 ， 从 而 使 这 些 规范 文档 化 。 
。 识别 内 部 资源 。 内 部 资源 来 自 于 公司 的 组 织 ， 包 括 开发 商 、 分 析 师 、 软 件 工具 ， 有 时 
还 可 能 有 项 目 经 理 。 
。 识 别 外 部 资源 。 外 部 资源 是 为 了 测试 应 用 系统 和 提交 报告 而 临时 加 入 项 目的 人 员 或 工 
具 。 外 部 资源 最 适合 安全 测试 ， 因 为 他 们 一 般 都 在 安全 编程 技术 方面 受过 严格 的 训练 ， 
同时 他 们 远离 代码 和 任何 内 部 策略 。 如 果 需 要 外 部 资源 ,测试 计划 需要 回答 以 下 问题 : 
C1) 他 们 测试 什么 ? (2 ) 他 们 的 报告 提交 给 谁 ? (3 ) 他 们 与 谁 一 起 工作 ? P 
我 们 将 软件 的 安全 属性 和 行为 划分 为 外 部 实体 的 和 内 部 实体 的 : 外 部 实体 包括 用 户 、 环 
境 和 其 他 软件 ; 内 部 实体 包括 软件 自身 有 交互 行为 并 且 作 为 主要 测试 对 象 的 内 部 组 件 。 具 体 
来 说 ， 应 该 验证 软件 以 下 的 属性 和 行为 : 
。 它 的 行为 是 可 预测 和 安全 的 。 
。 它 不 暴露 漏洞 或 者 缺陷 。 
。 它 的 错误 和 异常 处 理 程序 ， 使 得 它 能 够 在 面 对 攻击 或 者 故意 故障 的 时 候 ， 维 持 安全 
状态 。 
。 它 满足 了 所 有 的 规定 和 隐 含 的 非 功能 性 的 安全 要 求 。 
。 它 并 没有 违背 任何 规定 和 隐 含 的 非 功能 性 的 安全 要 求 。 
。 它 并 没有 违反 任何 规定 的 安全 限制 。 
。 使 用 模糊 或 混淆 技术 对 尽量 多 的 源 代码 进行 处 理 ， 以 防止 攻击 者 使 用 逆向 工程 对 程序 
进行 攻击 。5” 
安全 测试 计划 应 该 包含 在 整个 软件 测试 计划 中 ， 并 定义 所 有 与 安全 相关 的 测试 活动 ， 包 
括 如 下 : 
。 安 全 测试 用 例 或 场景 (基于 滥用 用 例 ) 
。 测试 数据 ， 包 括 攻击 模式 
。 测 试 语言 (如 果 有 一 个 被 使 用 ) 
。 测试 工具 ( 白 盒 和 黑 盒 、 静 态 和 动态 )。 
。 测试 分 析 ， 即 对 各 种 测试 工具 的 测试 结果 进行 解释 和 关联 。"™ 
软件 安全 测试 技术 可 以 分 类 为 白 盒 测 试 、 灰 盒 测试 或 者 黑 盒 测试 三 类 。 
。 白 盒 。 从 内 部 的 角度 测试 软件 ， 即 充分 了 解 软 件 内 部 ; 源 代 码 、 架 构 和 设计 文档 ， 以 
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及 配置 文件 可 用 于 分 析 。 

。 灰 盒 。 设 计 测 试用 例 的 目的 是 分 析 源 代码 ， 同 时 也 使 用 黑 盒 测试 技术 ; 源 代码 和 可 执 
行 二 进 制 文件 都 可 用 于 分 析 。 

。 黑 盒 。 从 外 部 的 角度 测试 软件 ， 没 有 关于 软件 的 任何 知识 ; 只 有 二 进 制 可 执行 文件 或 
中 间 字 节 码 可 用 于 分 析 。"” 

上 述 常用 的 安全 测试 技术 可 以 按 如 下 分 类 。 

。 源 代码 分 析 ( 白 盒 测试 )。 源 代码 分 析 是 对 软件 的 源 代码 进行 检测 ， 用 来 发 现 源 代码 中 
可 能 导致 安全 漏洞 的 部 分 。 相 对 于 其 他 类 型 的 静态 分 析 工 具 ， 源 代码 安全 分 析 需 的 主 
要 优点 是 源 代 码 的 可 用 性 。 比 起 从 字 节 码 或 者 二 进 制 中 闭 向 工程 得 到 的 代码 ， 源 代码 
包含 更 详细 的 信息 ， 因 此 ， 更 容易 发 现 可 导致 安全 漏洞 的 软件 缺陷 。 此 外 ， 如 果 进 行 
分 析 的 是 原始 的 源 代 码 ， 会 更 容易 修复 发 现 的 安全 漏洞 。 

。 基 于 属性 ( 白 盒 测 试 )。 基 于 属性 的 测试 是 由 美国 加 州 大 学 戴 维 斯 分 校 ( University of 
California Davis) 创立 的 正式 的 分 析 技 术 。 基 于 属性 的 测试 验证 了 该 软件 的 功能 是 否 满 
足 其 设计 规格 。 这 种 方法 通过 检查 源 代 码 中 与 安全 相关 的 属性 实现 ， 例 如 缺乏 不 安全 
的 安全 状态 转换 。 然 后 将 代码 中 与 安全 相关 的 属性 与 软件 的 设计 规格 进行 比 对 ， 确 定 
预期 的 安全 假设 是 否 得 到 满足 。 

。 源 代码 错误 注入 (和 白 盒 测试 、 灰 盒 测试 )。 错 误 注 入 技术 是 通过 测试 所 有 代码 路 径 以 提 

高 代码 覆盖 率 的 技术 。 尤 其 是 错误 处 理 代码 路 径 ， 这 部 分 代码 在 功能 测试 中 可 能 不 会 

被 测试 到 。 在 错误 注入 测试 中 ,错误 被 注入 软件 中 ， 用 来 模拟 针对 软件 或 软件 运行 环 

境 的 攻击 。 在 源 代码 错误 注入 测试 中 ,测试 者 需要 确定 在 什么 情况 下 触发 环境 错误 。 

之 后 在 源 代码 中 插入 能 够 导致 这 些 错 误 的 环境 数据 。 注 入 错误 后 的 源 代码 会 被 编译 和 

执行 ， 当 错误 注入 代码 部 分 执行 时 ， 测 试 者 观察 软件 状态 是 否 发 生变 化 。 可 以 让 测试 

者 通过 改变 环境 观察 软件 安全 状态 和 不 安全 状态 的 变化 。 测 试 者 还 可 以 分 析 那 些 由 注 

入 错误 传播 后 导致 的 错误 。 这 种 类 似 于 错误 传播 分 析 的 分 析 方 法 包括 两 种 典型 的 技术 : 

扩展 传播 分 析 和 接口 传播 分 析 。 

动态 代码 分 析 ( 灰 盒 测试 )。 动 态 代码 分 析 在 应 用 程序 运行 时 对 代码 进行 检测 ， 测 试 者 

可 以 通过 跟踪 外 部 接口 以 及 与 外 部 接口 进行 交互 的 代码 ， 找 到 测试 中 发 现 的 漏洞 和 异 

常 的 源 代码 并 进行 修复 。 与 静态 分 析 不 同 的 是 ， 动 态 分 析 允 许 测试 人 员 修 改 软 件 配置 

和 环境 行为 相关 的 组 件 来 发 现 漏洞 。 由 于 软件 自身 的 配置 与 真实 的 测试 环境 并 不 能 完 

全 对 应 ， 因 此 一 般 采 用 测试 工具 对 测试 交互 、 关 联 输 入 、 环 境 条 件 以 模拟 的 方式 进行 

测试 。 

二 进 制 错误 注入 ( 灰 盒 测试 、 黑 盒 测试 )。 二 进 制 错 误 注 入 是 一 种 运行 时 分 析 技 术 ， 在 

错误 注入 时 监控 应 用 程序 。 通 过 监视 系统 调用 ， 测 试 者 能 够 识别 系统 调用 的 名 称 、 每 

一 个 调用 的 参数 和 调用 的 返回 码 。 这 人 允许 测试 者 发 现 被 调用 软件 访问 的 资源 的 名 称 和 

类 型 、 资 源 是 如 何 使 用 的 以 及 每 一 次 访问 尝试 是 成 功 还 是 失败 。 在 二 进 制 错误 分 析 中 ， 

错误 被 注入 应 用 程序 的 环境 资源 中 。 

模糊 测试 ( 黑 盒 测试 )。 模 糊 是 一 种 用 于 检测 软件 中 错误 和 安全 相关 bug 的 技术 ， 通 过 

向 程序 中 提供 随机 输入 实现 。 与 静态 分 析 中 源 代码 逐 行 评审 以 发 现 bug 的 方式 相反 ， 

模糊 测试 通过 给 程序 产生 各 种 有 效 和 无 效 的 输入 并 监控 结果 来 进行 分 析 ， 这 种 测试 有 
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可 能 导致 程序 前 溃 。 

二 进 制 代 码 分 析 ( 黑 盒 测试 )。 二 进 制 代码 扫描 器 分 析 机 器 码 来 建立 语言 无 关 的 表示 模 
型 ， 包 括 程序 行为 、 控 制 和 数据 流 、 调 用 树 和 外 部 函数 调用 。 这 样 的 一 个 模型 会 被 自 
动 漏洞 扫描 工具 遍历 ， 从 而 找 出 常见 的 代码 错误 和 简单 后 门 引 起 的 漏洞 。 源 代码 分 析 
工具 可 以 基于 该 模型 生成 用 来 表示 程序 行为 的 可 读 代 码 ， 人 工 代 码 检查 可 以 根据 这 一 
结果 发 现 设 计 阶 段 产生 的 安全 缺陷 以 及 无 法 用 自动 扫描 器 发 现 的 后 门 。 

字 节 码 分 析 ( 黑 盒 测试 )。 字 节 码 扫描 器 与 源 代 码 安全 分 析 器 相似 ， 它 是 通过 检测 字 节 
码 来 发 现 漏洞 的 。 例 如 ，Java 语言 编译 成 一 个 与 平台 无 关 的 字 节 码 格式 ， 其 在 运行 时 
环境 (Java 虚拟 机 ) 中 执行 。 包 含 在 原始 Java 源 代码 中 的 大 部 分 信息 保留 在 已 编译 的 
字 节 码 中 ， 因 此 使 得 反 编 译 成 为 可 能 。 可 以 在 不 能 得 到 软件 源 代 码 的 测试 中 使 用 字 节 
码 扫描 器 一 一 例如 用 来 评估 第 三 方 软件 组 件 对 应 用 软件 安全 性 的 影响 。 

黑 盒 调试 ( 黑 盒 测试 )。 低 级 语言 ， 如 C 语言 或 汇编 语言 的 调试 器 ， 人 允许 测试 者 监控 程 
序 的 执行 、 启 动 和 停止 程序 、 设 置 断 点 和 修改 变量 值 。 调 试 器 只 用 在 源 代码 或 编译 符 
号 可 用 时 才能 够 使 用 。 源 代码 和 编译 符号 可 以 跟踪 内 部 变量 的 值 ， 从 而 发 现 程 序 内 部 
行为 的 特点 。 然 而 ， 有 的 测试 只 能 对 编译 器 生成 的 没有 设置 编译 符号 或 调试 标志 的 二 
进 制 代码 进行 测试 ， 如 商业 软件 、 旧 式 软件 ， 以 及 为 防止 逆向 工程 使 用 代码 混淆 技术 
处 理 过 的 软件 。 在 这 种 情况 下 ， 传 统 的 调试 方法 是 无 法 使 用 的 。 应 当 指 出 的 是 ， 如 果 
调试 工作 的 重点 是 在 与 外 部 组 件 的 软件 交互 上 ， 只 需要 二 进 制 代 码 就 可 以 了 。 

漏洞 扫描 ( 黑 盒 测试 )。 针 对 操作 系统 和 应 用 程序 的 自动 化 漏洞 扫描 工具 有 商用 的 和 开 
源 的 两 类 ， 它 们 通过 使 用 攻击 模式 对 被 测 目 标 进 行 测试 以 验证 是 否 包含 已 知 的 漏洞 。 
就 像 病 毒 扫描 工具 依赖 特征 知识 库 识 别 病毒 一 样 ， 漏 洞 扫描 工具 依赖 将 漏洞 特征 做 成 
“签名 ”的 知识 库 识 别 漏洞 。 就 像 自动 代码 审查 工具 一 样 ， 尽 管 许多 漏洞 扫描 工具 尝试 
使 用 一 些 机 制 自动 识别 漏洞 ， 但 仍然 无 法 检测 复杂 的 漏洞 或 没有 保存 在 知识 库 中 的 漏 
洞 。 除 了 基于 漏洞 签名 知识 库 的 漏洞 扫描 工具 外 ， 大 多 数 漏洞 扫描 工具 采用 模拟 攻击 
者 的 攻击 方式 来 探测 软件 是 否 可 以 暴露 漏洞 。 

渗透 测试 ( 黑 盒 测 试 )。 安 全 性 测试 的 一 部 分 ， 在 该 测试 中 评价 者 试图 绕 过 系统 的 安全 

功能。 评价 者 假装 可 以 使 用 所 有 系统 的 设计 和 实现 文档 ， 其 中 可 以 包括 系统 源 代码 列 

表 、 手 册 和 系统 流程 图 。 评 价 者 和 普通 用 户 在 相同 的 条 件 下 工作 。 和 

测试 计划 用 来 组 织 安全 测试 流程 ， 描 述 了 会 对 哪些 软件 组 件 进行 测试 以 及 每 个 测试 的 流 
程 是 什么 。 测 试 计划 并 不 单单 是 一 个 要 完成 的 任务 列表 ; 它 还 要 包括 对 软件 的 哪些 方面 进行 
测试 , 使 用 了 哪些 技术 进行 测试 ， 以 及 每 种 测试 方法 的 描述 ， 包 括 先决 条 件 、 配 置 、 执 行 以 
及 需要 从 测试 结果 中 获得 哪些 结论 。 由 于 时 间 和 预算 的 限制 ， 往 往 无 法 对 软件 所 有 的 组 件 都 
进行 测试 ， 因 此 要 在 测试 前 就 要 做 风险 分 析 。 安 全 测试 计划 是 一 个 持续 的 过 程 ， 随 着 测试 信 
息 的 增多 ， 测 试 的 细节 会 不 断 补充 进来 。 . 

在 开发 部 门 修复 问题 后 ,会 将 程序 送 回 测试 部 门 进行 回归 测试 。 由 于 在 软件 全 部 开发 完 
成 后 再 进行 测试 是 很 低 效 的 ， 因 此 通常 采用 的 方式 是 软件 的 一 部 分 组 件 正在 开发 ， 一 部 分 组 
件 正在 进行 测试 。 对 于 大 型 项 目 来 说 ,测试 计划 通常 分 解 成 不 同 的 测试 周期 。 对 于 上 面 给 出 
的 例子 ， 为 了 对 软件 进行 复 测 就 需要 创建 一 个 测试 周期 ; 当 遇 到 由 于 开发 工作 性 质 的 原因 导 
致 不 同 的 模块 在 不 同 的 时 间 进 行 测试 的 情况 ， 也 需要 创建 测试 周期 。 
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为 了 将 重复 测试 的 数量 限制 到 最 小 ， 需 要 考虑 组 件 间 的 依赖 关系 ， 以 及 SaaS 或 云 环 境 中 
的 元 素 和 软件 组 件 间 的 关系 。 开 发 部 门 往往 有 着 严格 的 开发 流程 ， 因 此 安全 组 需要 在 SDLC 
过 程 的 开始 阶段 就 参与 进来 。 安 全 团队 需要 尽早 指定 软件 组 件 的 测试 顺序 ， 确 保 测试 到 一 个 
组 件 时 ， 它 所 依赖 的 组 件 已 经 完成 了 开发 与 测试 。“ 构 建安 全 ”的 概念 不 单单 用 来 构建 安全 计 
划 ， 必 须 严格 遵守 这 一 计划 。 这 意味 着 安全 团队 需要 包含 在 一 般 的 测试 计划 讨论 中 ， 以 确保 
安全 元 素 被 包含 在 测试 环境 的 验证 和 测试 数据 中 ， 以 及 测试 用 例如 何 定义 测试 条 件 。 测 试 条 
件 是 真正 要 进行 测试 的 ， 以 观察 该 软件 实际 上 如 何 做 出 回应 。 测 试用 例 在 测试 执行 过 程 中 创 
建 ， 并 包括 有 关 测 试 前 置 条 件 和 后 置 条 件 的 信息 ， 如 何 设置 和 终止 ， 以 及 如 何 评价 测试 结果 。 

自动 化 是 让 测试 流程 平稳 进行 的 关键 ,最 重要 的 是 ， 测 试 的 可 重复 性 。 正 如 前 面 所 提 到 
的 ， 并 不 是 所 有 测试 都 能 满足 这 些 要 求 ， 人 工 参与 是 必要 的 ， 特 别 是 经 验 丰 富 的 软件 安全 架 
构 师 。 测 试 计划 要 尽量 充分 ， 让 测试 人 员 了 和 解 在 每 个 测试 中 需要 得 到 的 是 什么 ， 以 及 需要 做 
哪些 准备 。 

Cigital 公司 的 Michael 和 Radosevich 在 2005 年 名 为 《基于 风险 和 功能 的 安全 测试 》 
(Risk-Based and Functional Security Testing) 的 白皮书 中 ， 列 出 了 以 下 关于 安全 测试 的 典型 元 
素 ， 可 以 用 来 作为 制定 测试 计划 的 准则 。 

。 目标 

。 在 测 软件 概述 

图 软件 和 组 件 

图 测试 边界 

图 测试 限制 

。 风 险 分 析 

图 风险 分 析 概 要 

。 测 试 策略 

图 假设 

图 测试 方法 

图 不 需要 测试 的 项 

。 测 试 要 求 

图 功能 测试 要 求 

图 安全 测试 要 求 

图 安装 / 配置 测试 要 求 

图 压力 和 负载 测试 要 求 

图 用 户 文档 

国 人 员 要 求 

图 设备 和 硬件 要 求 

。 测 试 环境 

。 测 试用 例 规格 

加 唯一 的 测试 标识 符 

图 要 求 可 追溯 性 (需求 文档 中 有 多 少 需 求 数量 参与 测试 用 例 验 证 ) 

国 输入 规格 
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图 输出 规格 / 预期 结果 
图 环境 需求 
图 特定 程序 要 求 
图 测试 用 例 依赖 
。 测试 自动 化 和 测试 件 
图 测试 件 架构 
图 测试 工具 
图 测试 件 
。 测 试 执行 
图 测试 准 入 条 件 
E QA 验收 测试 
图 回归 测试 
图 测试 程序 、 特 殊 要 求 、 程 序 步 又 
图 测试 计划 
图 测试 准 出 条 件 
。 测试 管理 计划 
。 定 义 和 缩 略 词 


5.3 ”威胁 模型 更 新 


在 通过 第 4 章 介绍 威胁 模型 构建 过 程 之 后 ， 知 道 构建 过 程 何 时 完毕 是 很 重要 的 。 需 要 回 
答 以 下 几 个 问题 ， 答 案 可 能 取决 于 商业 竞争 与 安全 风险 之 间 的 取舍。 

1. 你 开发 的 软件 是 否 能 符合 所 有 相关 政策 、 法 规 、 条 例 的 规定 ? 并 且 对 于 每 个 需求 获得 
各 个 层次 的 批准 ? 

2. 所 有 的 利益 相关 方 是 否 对 威胁 建 模 过 程 中 识别 出 的 安全 和 风险 进行 了 检查 ? 相关 的 架构 
师 、 开 发 人 员 、 测 斌 人员、 项目 经 理 以 及 其 他 所 有 了 解 软 件 的 人 员 都 应 为 威胁 模型 构建 做 出 贡 
献 并 进行 核查 。 为 了 保证 威胁 模型 覆盖 全 面 ， 应 广泛 征求 各 方 意见 。 所 有 相关 人 员 在 威胁 和 风 
险 的 认识 上 达成 一 致 是 很 重要 的 。 和 否则 ， 针 对 威胁 模型 实现 相关 措施 的 落实 会 面临 很 多 困难 。 

3. 你 是 否 就 建立 威胁 模型 和 针对 威胁 模型 采取 的 应 对 措施 、 测 试 所 需 的 时 间 和 资源 与 相 
关 方 达成 一 致 ? 

4. 你 对 风险 和 威胁 的 排名 是 否 与 相关 人 员 达 成 了 共识 ? 如 果 你 是 一 个 软件 购买 者 ， 是 否 
会 同意 这 个 排名 ? i 


5.4 设计 安全 性 分 析 和 检查 


在 1974 年 的 一 篇 文章 中 ,来 自 弗 吉 尼 亚 大 学 的 Saltzer 和 Schroeder， 提 供 了 通过 保护 存 
储 信息 所 需 的 软件 和 硬件 来 保护 信息 的 方法 。 呈 文章 提出 了 以 下 11 个 安全 设计 原则 。 

1. 最 小 权限 。 最 小 权限 原则 主张 ， 对 于 完成 一 项 任务 的 个 人 、 进 程 或 其 他 实体 ， 只 在 可 
完成 该 任务 的 最 短 时 间 内 分 配给 该 实体 能 够 完成 该 任务 的 最 小 权限 和 资源 。 这 种 方法 避免 了 
未 经 授权 访问 敏感 信息 的 情况 。 

2. 职责 分 离 。 该 原则 要 求 ， 必 须 满足 多 个 条 件 ， 才 能 完成 指定 的 敏感 行为 或 接触 敏感 信 
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息 。 系 统 通过 将 实体 的 权限 进行 分 割 来 满足 该 原则 。 

3. 纵深 防御 。 通 过 多 层次 的 保护 以 确保 当 一 层 保护 被 破坏 后 ， 后 面 各 层 能 起 到 保护 应 用 
的 作用 。 

4. 故障 安全 。 这 意味 着 如 果 一 个 系统 出 现 故 障 ， 它 依然 能 处 在 安全 并 且 数 据 不 受到 损害 
的 状态 。 如 果 系 统 无 法 从 故障 状态 自动 恢复 ， 应 该 只 有 系统 管理 员 能 进入 系统 ， 普 通用 户 直 
到 系统 恢复 正常 后 才能 进入 系统 。 

5. 经 济 机 制 。 该 机 制 促进 了 简单 易 懂 的 保护 机 制 的 设计 与 实现 ， 消 除了 意 想不到 的 访问 
路 径 或 者 可 以 很 容易 地 确定 与 消除 它们 。 

6. 完全 仲裁 。 计 算 机 系统 中 所 有 主体 对 客体 的 访问 都 必须 遵循 一 个 有 效 且 高 效 的 授权 过 
程 。 这 种 仲裁 不 能 暂停 或 能 够 被 绕 过 ， 即 使 信息 系统 初始 化 后 ， 关 机 ， 重 新 启动 ， 或 是 在 维 
护 模式 下 。 完 整 的 仲裁 包括 :( a) 识别 访问 请 求 的 实体 ;(b) 验证 请 求 是 否 未 被 修改 ; (c) 使 
用 适当 的 授权 流程 ; (d) 复审 预先 授权 同一 个 实体 的 请 求 。 

7. 开放 式 的 设计 。 我 们 一 直 在 讨论 ， 比 起 将 源 代 码 闭 源 ， 将 代码 开源 并 在 社区 以 更 大 的 
范围 对 软件 进行 评估 的 优点 和 好 处 。 以 访问 控制 系统 为 例 ， 在 大 多 数 情况 下 ， 比 起 一 个 闭 源 
的 访问 控制 系统 ， 一 个 开放 的 访问 控制 系统 的 设计 会 被 更 大 范围 、 更 多 的 专家 进行 评估 ， 从 
而 获得 更 加 安全 的 身份 验证 方法 。 

8. 最 小 公共 机 制 。 这 一 原则 是 说 ， 多 个 用 户 间 共享 的 保护 机 制 数 量 应 该 尽 可 能 小 ， 例 如 : 
共享 访问 路 径 可 能 会 导致 未 授权 的 信息 交换 。 这 种 会 导致 未 预期 的 数据 传输 的 共享 访问 路 径 
( 叫 作 转 换 通道 )。 为 了 满足 最 小 公共 机 制 原则 ， 应 尽量 减少 公共 的 安全 机 制 。 

9. 心理 可 接受 性 。 指 与 访问 控制 机 制 交互 的 用 户 接口 的 易 用 性 和 直观 性 。 用 户 必须 能 够 
理解 用 户 界面 ， 使 用 该 界面 时 无 需 复杂 的 提示 。 

10. 最 弱 环节 。 上 古语 道 ,“ 一 条 链子 的 强度 取决 于 其 最 薄弱 的 环节 。” 信息 系统 安全 性 所 能 
达到 的 强度 等 同 于 其 最 薄弱 环节 所 能 达到 的 安全 性 。 因 此 一 个 很 重要 的 工作 是 ， 识 别 安全 防 
御 环节 和 安全 层面 中 最 薄弱 的 部 分 ， 有 针对 性 地 进行 防御 和 提升 ， 使 系统 存在 的 风险 降低 到 
可 接受 的 程度 。 

11. 利用 现 有 的 组 件 。 在 很 多 情况 下 ， 一 个 信息 系统 的 安全 机 制 并 未 合理 配置 或 者 发 挥 其 
最 大 功效 。 审 查 信息 系统 现 有 的 安全 机 制 和 设置 ， 使 它们 达到 最 佳 的 安全 设计 预期 很 可 能 会 
大 大 提升 信息 系统 的 安全 状况 。 另 一 个 提高 系统 安全 性 的 方法 是 ， 利 用 现 有 组 件 将 系统 划分 
为 一 个 个 防御 单元 。 这 样 ， 如 果 攻 击 者 绕 过 了 一 个 防御 单元 的 防御 机 制 ， 将 不 会 对 其 他 防御 
单元 造成 破坏 ,使 计算 资源 遭受 的 破坏 降低 到 最 小 。"9 

设计 好 的 软件 并 不 容易 ， 使 它 安全 就 更 困难 了 。 虽 然 从 用 户 角度 上 来 讲 一 个 软件 的 缺点 
并 不 会 带 来 很 大 的 问题 ,但 是 从 安全 角度 来 讲 则 不 同 ， 因 为 攻击 者 可 以 进行 针对 性 的 测试 提 
高 触发 软件 缺陷 的 几率 。 有 的 缺陷 因为 随机 出 现 或 出 现 概率 很 低 而 被 忽略 ， 但 是 攻击 者 很 可 
能 利用 这 样 的 缺陷 对 应 用 软件 造成 很 大 的 影响 。 在 总 结 Saltzer 和 Schroeder 的 设计 原则 时 ， 
虽然 原则 内 容 很 明确 ， 但 是 缺乏 满足 原则 的 标准 。 幸 运 的 是 ， 我 们 了 解 信息 安全 的 概念 ， 能 
够 将 公认 的 保密 性 、 完 整 性 、 可 用 性 的 属性 融合 到 设计 原则 中 ， 避 免 因 设计 原则 的 把 握 不 当 
而 带 来 的 安全 隐患 。 但 然 ， 从 不 同 的 角度 对 安全 的 认识 也 是 不 同 的 ， 例 如 一 个 软件 开发 人 员 
可 能 认为 安全 主要 集中 在 软件 质量 上 ; 一 个 网 络 管理 员 认 为 安全 主要 集中 在 防火 墙 、IDS/IPS 
系统 、 事 件 响应 和 系统 管理 方面 ; 甚至 那些 管理 者 和 学 者 ， 他 们 可 能 认为 安全 主要 体现 在 上 
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述 的 经 典 设计 原则 或 者 多 种 多 样 的 安全 模型 上 。 这 些 观点 在 构建 安全 系统 和 相关 的 威胁 模型 
过 程 中 是 很 重要 的 。 

详细 设计 工件 用 来 有 效 地 构建 满足 用 户 需 求 的 软件 组 件 。 对 每 个 软件 组 件 可 能 存在 的 漏 
洞 进行 深入 分 析 ， 包 括 每 个 组 件 的 特征 、 属 性 和 服务 。 通 过 第 4 章 描述 的 对 每 个 软件 组 件 在 
用 例 和 误 用 例 情况 下 结果 的 分 析 ， 开 发 者 可 以 设计 出 更 加 合适 、 清 晰 的 处 理 方案 ， 整 个 团队 
更 加 直观 地 了 解 软 件 安全 机 制 是 如 何 控制 应 用 软件 的 。 这 个 过 程 可 以 将 用 例 转 换 为 实际 的 软 
件 需求 规格 说 明 书 。 开 发 者 检查 他 们 自己 开发 的 特定 应 用 软件 时 ， 也 应 该 检查 软件 运行 的 环 
境 是 否 存 在 漏洞 ， 包 括 网 络 、 架 构 以 及 依赖 的 其 他 软件 。 开 发 安全 团队 一 项 重要 的 工作 是 跟 
踪 有 可 能 影响 到 软件 及 其 运行 环境 的 漏洞 一 一 包括 发 布 前 的 和 发 布 后 的 一 一 从 而 避免 已 知 和 
未 知 攻击 手段 从 软件 内 部 或 外 部 进行 攻击 。 比 起 在 软件 发 布 后 再 进行 处 理 ， 在 设计 阶段 和 开 
发 阶段 就 识别 风险 并 采取 相应 的 处 理 措施 要 更 加 简单 和 节约 成 本 。 代 码 安全 设计 是 最 为 关键 
的 ， 需 要 投入 大 量 资 源 ， 但 还 是 无 法 避免 错误 ， 新 的 攻击 方法 会 出 现 ， 因 此 直到 软件 生命 周 
期 的 结束 都 需要 持续 研究 和 评估 新 的 新 的 攻击 方法 和 漏洞 。 这 就 是 第 4 章 介 绍 的 最 小 化 攻击 
面 的 重要 性 ， 结 合 良 好 的 设计 原则 可 以 最 大 程度 降低 代码 审查 环节 遗漏 的 安全 缺陷 的 严重 性 。 
作为 安全 工作 的 组 织 框架 ， 设 计 阶 段 可 以 策略 性 地 将 问题 切 分 成 一 个 个 小 问题 以 便 解 决 。 威 
胁 建 模 对 于 这 次 尝试 过 程 的 成 功 很 重要 ， 因 为 它 通常 会 识别 一 个 直到 很 晚 都 不 会 注意 的 安全 
设计 问题 。 使 用 数据 流 图 以 及 对 攻击 方法 进行 头脑 风暴 并 审核 已 知 的 检查 列表 进行 下 一 步 的 
工作 。 尽 早 使 用 最 适合 你 的 方法 并 进行 必要 的 研究 以 完善 你 的 设计 阶段 ， 从 而 使 开发 阶段 出 
现 的 组 件 故障 最 小 化 。 


5.5 ”隐私 实现 评估 


笔者 认为 ， 最 简洁 、 清 晰 并 且 经 过 现场 检验 的 软件 开发 隐私 措施 评估 现场 测试 流程 、 指 
南 来 自 微软 的 三 篇 重要 的 文档 。 

1. 开发 软件 产品 和 服务 的 微软 隐私 指南 ， 版 本 3.1 ; 2008 年 9 月 (Microsofts Privacy 
Guidelines for Developing Software Products and Services, Version 3.1; September 2008 ) "7! 

2. 微软 MSDN 的 SDL 一 一 过 程 指南 一 一 附录 C : SDL 隐私 问卷 调查 ( Microsoft MSDN's 
SDL—Process Guidance—Appendix C: SDL Privacy Questionnaire) ''*! 

3. 微软 SDL 的 简单 实现 (Microsofts Simplified Implementation of the Microsoft SDL) "” 

要 确定 隐私 影响 等 级 以 及 评估 相关 工作 的 流程 和 指南 ， 请 参考 “开发 软件 产品 和 服务 的 
微软 隐私 指南 "， 版 本 3.1; 2008 年 9 月 中 和 “微软 MSDN 的 SDL 一 一 过 程 指南 一 一 附录 C: 
SDL 隐私 问卷 调查 ””。 评 级 (P1、P2 BK P3) 从 隐私 的 角度 表现 了 软件 的 风险 等 级 。 你 只 需 
要 按照 指南 的 步骤 就 可 以 完成 评估 。 

。P1 : 高 级 隐私 风险 。 特 征 、 产 品 或 服务 对 个 人 身份 鉴别 信息 (personally identifiable 

information, PII) 进行 存储 或 传输 ， 更 改 相关 的 配置 或 文件 类 型 ， 或 安装 软件 。 

。P2 : 中 级 隐私 风险 。 影 响 特征 、 产 品 或 服务 的 隐私 的 独立 行为 是 一 次 性 的 、 用 户 发 起 

的 、 匿 名 数据 传输 的 (如 ， 用 户 点 击 一 个 链接 软件 就 跳 转 到 一 个 外 部 网 站 )。 

。P3 : 低级 隐私 风险 。 特 征 、 产 品 或 服务 内 部 没有 影响 隐私 的 行为 。 不 传输 匿名 或 个 人 

数据 ， 不 存储 PI， 没 有 配置 改变 用 户 的 利益 ， 不 安装 软件 。™ 

这 些 问题 是 为 了 完成 SDL 的 隐私 方面 的 检查 而 设计 的 ， 你 可 以 独立 完成 几 个 部 分 ， 例 如 
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保护 用 户 隐 私 最 好 的 方法 之 一 是 不 收集 用 户 数据 。 架 构 师 、 开 发 者 、 数 据 收 集 系统 管理 
员 应 该 不 断 问 自己 : 

。“ 我 需要 收集 这 个 数据 吗 ?” 

。“ 我 有 一 个 合理 的 商业 目的 吗 ?”. 

。“ 客 户 会 支持 我 的 商业 目的 吗 ?”™ 

开发 组 织 必 须 牢记 ， 客 户 可 以 控制 自己 的 个 人 信息 ， 他 们 需要 知道 哪些 个 人 信息 会 被 收 
集 ， 会 分 享 给 谁 ， 以 及 如 何 被 使 用 。 此 外 : 

。 从 客户 电脑 获取 他 们 的 个 人 信息 之 前 必须 征 得 他 们 同意 ; 

。 如 果 客 户 用 户 的 个 人 信息 是 通过 互联 网 传输 的 并 远程 存储 ， 必 须 为 他 们 提供 访问 和 修 

改 个 人 信息 的 方法 。™” 

“开发 软件 产品 和 服务 的 微软 隐私 指南 ”"， 版 本 3.1°° 的 编写 过 程 参 考 了 大 量 文献 ， 包 括 : 
经 济 合作 与 发 展 组 织 ( Organization for Economic Co-operation and Development, OECD) 公平 
信息 惯例 中 的 核心 概念 和 隐私 法 律 ， 比 如 欧盟 数据 保护 法 令 加， 美国 1998 年 的 儿童 在 线 隐 
私 保护 法 (Children’s Online Privacy Protection Act, COPPA) 以 及 美国 计算 机 欺诈 与 滥用 法 
案 "及 其 修正 案 。“ 开 发 软件 产品 和 服务 的 微软 隐私 指南 ”文档 分 为 两 个 主要 部 分 。 第 1 部 
分 介绍 关键 的 隐私 概念 和 定义 。 第 2 部 分 列举 了 面向 特定 软件 产品 和 网 站 开发 场景 的 详细 指 
南 。“ 开 发 软件 产品 和 服务 的 隐私 指南 ”的 目录 表示 如 下 。 


Table of Contents 

Introduction 

1 Basic Concepts and Definitions 

1.1 User Data 
1.1.1 User Data Categories 
Data Minimization and Data Management 
1.2.1 Minimizing Data Collected 
1.2.2 Limiting Access to “Need to Know” 
1.2.3 Reducing the Sensitivity of Data Retained 
1.2.4 Reducing Duration of Data Retention 
Notice, Choice, and Consent 
1.3.1 Types of Notice 
1.3.2 Types of Consent 
Notice Mechanisms 
1.4.1 Just-in-Time Notice 
1.4.2 First Run Notice 
1.4.3 Installation Time Notice 
1.4.4 “Out of the Box” Notice 
Security 
Access 
Data Integrity 
Types of Privacy Controls 
1.8.1 User Controls 
1.8.2 Administrator Privacy Controls 

1.9 Shared Computers 

1.10 Children’s Privacy 

1.11 Software Installation 
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1.12 Server Products 
Third Parties 
1.13 Web Sites and Web Services 
1.13.1 Using P3P for Privacy Statements 
1.13.2 Using Cookies 
Special Considerations 
1.14.1 Pre-Release Products 
1.14.2 Essential Transfers and Updates 
1.14.3 File and Path Names 
1.14.4 IP Address 
1.14.5 When Things Change 
Guidelines 
How to Use This Section 
Scenarios 
Scenario 1: Transferring PII to and from the Customer's 
System 
Scenario 2: Storing PII on the Customer's System 
Scenario 3: Transferring Anonymous Data from the 
Customer's System 
Scenario 4: Installing Software on a Customer's System 
Scenario 5: Deploying a Web Site 
Scenario 6: Storing and Processing User Data at the 
Company 
Scenario 7: Transferring User Data outside the 
Company 
Scenario 8: Interacting with Children 
Scenario 9: Server Deployment 
Appendix A Windows Media Player 10 Privacy Experience 
Appendix B Security and Data Protection 
Appendix C User Data Examples 


作为 设计 要 求 活动 的 一 部 分 ， 额 外 的 隐私 操作 包括 : 创建 隐私 设计 规范 、 规 范 审核 、 最 
小 加 密 设 计 要 求 的 规范 。 设 计 规范 应 该 说 明 直 接 暴 露 给 用 户 的 隐私 功能 ， 比 如 那些 需要 用 户 
验证 才能 访问 的 特定 数据 ， 或 者 用 户 同意 后 才能 使 用 的 高 风险 的 隐私 功能 。 此 外 ， 所 有 的 设 
计 规 范 应 该 说 明 如 何 安全 地 实现 给 定 的 特征 或 功能 。 通 过 设计 规范 验证 应 用 程序 的 功能 规范 
是 个 很 好 的 方法 。 功 能 规范 应 该 包括 : (1) 特征 或 功能 的 准确 、 完 整 说 明 ;( 2 ) 使 应 用 程序 
达到 安全 的 状态 所 需 的 特征 或 功能 配置 。™ 

为 了 保护 PI 数据 的 安全 控制 ， 必 须 考虑 数据 保护 的 各 个 方面 ,包括 (但 不 限于 ) : 访问 
控制 、 数 据 传输 和 存储 加 密 、 物 理 安全 、 灾 难 恢 复 和 审计 。 很 多 情况 下 ,保护 关键 业务 数据 
使 用 的 安全 机 制 ， 同 样 可 以 用 于 保护 客户 和 员工 的 个 人 信息 。 关 键 业务 数据 的 保护 包括 来 自 
于 妥协 和 损失 信息 的 机 密 性 和 专 有 性 。 根 据 本 节 介 绍 的 指南 ， 在 对 机 构 收集 、 存 储 、 传 输 PII 
的 行为 进行 识别 、 理 解 、 分 类 后 这 才能 确定 。 | 


5.6 成 功 的 关键 因素 和 度量 标准 





5.6.1 成 功 的 关键 因素 
SDL 第 3 阶段 的 成 功 取决 于 安全 测试 计划 、 设 计 安 全 分 析 审 查 和 隐私 实施 评估 。 在 这 个 


86 BSF 


阶段 中 ,创建 了 SDL 剩 下 的 所 有 流程 的 计划 ， 从 执行 到 测试 。 表 5-1 列 出 了 第 3 阶段 的 关键 
成 功 因 素 。 


表 5-1 关键 成 功 因素 


关键 成 功 因素 描 述 
1. 全 面 的 安全 测试 计划 映射 SDLC 不 同 阶段 需要 的 安全 测试 类 型 
2. 有 效 的 威胁 建 模 识别 软件 威胁 
3. 设计 安全 分 析 不 同 软件 组 件 的 威胁 分 析 
4. 隐私 实施 评估 p 根据 评估 实施 隐私 相关 控制 所 需要 的 工作 量 
5. 策略 一 致 性 审查 〈 更 新 ) 涉及 阶段 3 的 策略 遵从 更 新 


成 功 因素 1: 全 面 的 安全 测试 计划 

这 个 阶段 ， 安 全 架构 师 和 评估 小 组 定义 了 需要 对 软件 进行 测试 的 各 个 方面 ， 以 及 版 本 发 
布 前 和 发 布 后 需要 进行 的 测试 类 型 及 时 间 安 排 。 安 全 测试 计划 应 该 将 代码 开发 阶段 与 测试 类 
型 进行 映射 。 例 如 ， 当 软件 进入 静态 分 析 阶 段 时 ， 必 须 对 最 终 提 交 的 代码 进行 全 面 的 静态 分 
析 。 当 软件 进入 预 发 布 阶段 时 ， 应 该 进行 安全 漏洞 评估 、 灰 盒 测 试 和 二 进 制 测试 。 这 个 阶段 
与 整个 SDL 中 最 关键 的 成 功 因素 之 一 ， 就 是 安全 测试 计划 能 够 在 产品 部 署 之 前 消除 大 多 数 的 
安全 漏洞 。 

成 功 因 素 2: 有 效 的 威胁 建 模 

如 果 在 这 个 阶段 确定 了 新 的 威胁 和 攻击 向 量 ， 需 要 对 威胁 模型 和 标准 进行 更 新 ， 以 确保 
风险 处 理 计划 是 全 面 的。 

成 功 因 素 3: 设计 安全 性 分 析 

与 安全 测试 计划 的 准确 性 一 样 ， 从 安全 角度 对 软件 设计 的 评审 也 许 是 在 SDL 前 3 阶段 中 
最 重要 的 成 功 因 素 。 重 要 的 是 : 最 小 化 攻击 面 ， 完 善 设计 原则 以 最 大 限度 地 降低 安全 漏洞 的 
严重 程度 。 

成 功 因素 4: 隐私 实施 评估 

对 公司 内 部 和 外 部 隐私 策略 的 遵守 和 实践 的 现状 要 尽 可 能 准确 。 这 将 显著 节约 成 本 。 例 
如 ， 如 果 隐 私 实践 要 求 PI 数据 全 线 加 密 ， 在 设计 阶段 识别 该 需求 是 至 关 重 要 的 。 一 旦 该 软 
件 处 在 执行 和 发 布 阶段 这 就 要 付出 很 大 的 成 本 才能 实现 。 笔 者 看 到 ,“ 财 富 500 强 ” 企 业 是 在 
服务 包 发 布 阶段 做 这 项 工作 的 。 然 而 ， 很 难 准确 地 解决 问题 。 它 也 是 代价 高 昂 的 。 这 个 问题 
的 男 一 个 例子 是 网 络 分 段 。 在 云 /Saas 类 型 的 环境 中 ， 这 是 一 个 重要 的 决策 。 通 常会 有 多 个 产 
品 脱离 共享 环境 。 如 何 将 它们 分 别 进行 有 效 的 保护 在 设计 阶段 是 很 重要 的 问题 。 

成 功 因 素 5: 策略 一 致 性 审查 (更 新 ) 

如 果 对 现 有 的 策略 进行 了 更 新 ， 或 确定 补充 了 新 的 策略 ， 需 要 审查 需求 是 否 满足 新 的 策 
略 。 另 一 个 例子 是 ， 更 新 策略 包含 了 隐私 相关 策略 或 前 瞻 性 战略 。 


5.6.2 ”可 交付 成 果 


K 5-2 列 出 了 SDL 这 个 阶段 的 可 交付 成 果 。 
”更 新 的 威胁 建 模 工件 
需要 创建 更 新 的 数据 流 图 、 技 术 威 胁 建 模 报 告 、 高 级 执行 威胁 报告 、 威 胁 列表 ， 以 及 基 
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于 攻击 向 量 的 新 需求 /输入 的 威胁 分 析 的 建议 。 

设计 安全 审查 

这 是 一 份 正式 的 规范 ， 基 于 安全 架构 和 安全 评估 的 软件 设计 审查 列 出 了 软件 组 件 的 更 改 。 

安全 测试 计划 

这 是 一 个 正式 的 安全 测试 时 间 表 ， 将 SDL 过 程 中 不 同 的 阶段 与 不 同类 型 的 安全 测试 进行 
映射 (静态 分 析 、 模 糊 测试 、 漏 洞 评估 、 二 进 制 测试 等 )。 

更 新 的 策略 遵从 分 析 

策略 遵从 分 析 标 准 ( 见 第 4 章 ) 应 该 基于 任何 新 的 要 求 或 策略 更 新 ， 这 些 新 的 需求 或 策略 
可 能 已 经 在 SDL 的 这 个 阶段 出 现 。 

隐私 实施 评估 结果 

基于 隐私 风险 (高 、 中 、 低 ) 建立 的 用 来 实现 隐私 实施 评估 建议 的 路 线 图 。 


表 5-2 A3 阶段 可 交付 成 果 


可 交付 成 果 A of 
更 新 的 威胁 建 模 标准 数据 流 图 、 要 素 、 威 胁 列 表 
设计 安全 审查 基于 安全 评估 的 软件 组 件 设计 修改 
安全 测试 计划 计划 减轻 、 接 受 或 容忍 风险 
更 新 的 策略 遵从 分 析 坚持 遵守 公司 政策 
隐私 实施 评估 结果 隐私 评估 的 建议 


5.6.3 ”度量 标准 
由 于 一 些 成 功 的 隐私 和 可 交付 成 果 与 SDL 的 第 2 阶段 相似 ， 相 同 的 度量 指标 应 该 收集 和 


e 威胁 、 可 能 性 和 严重 性 

。 符合 公 司 政策 的 百分比 (更 新 ) 

。 符 合 第 2 阶段 和 第 3 阶段 的 百分比 

。 软 件 的 切入 点 (使 用 DFD) 

。 接 受 的 风险 相对 于 缓解 的 风险 的 百分比 

。 最 初 的 软件 重新 定义 要 求 的 百分比 

o 软件 架构 变化 的 百分比 

。 没有 响应 的 软件 安全 测试 的 SDLC 阶段 的 百分比 

© 与 隐私 控制 有 关 实 现 的 软件 组 件 的 百分比 

。 代 码 行 数 

。 使 用 静态 分 析 工 具 发 现 的 安全 缺陷 数量 

。 使 用 静态 分 析 工 具 发 现 的 高 风险 缺陷 数 

。 缺 陷 密 度 (每 1000 行 代码 中 的 安全 问题 ) 

需要 注意 的 是 ， 如 果 有 太 多 涉及 隐私 的 控制 需要 在 软件 组 件 中 实现 ， 你 可 能 要 审查 组 件 
的 设计 。 
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在 我 们 关于 设计 和 开发 的 讨论 中 (A3 阶段 )， 我 们 描述 了 以 下 几 个 方面 的 重要 性 : 策略 一 
致 性 分 析 、 测 试 计划 文档 创建 、 威 胁 建 模 更 新 、 设 计 安全 分 析 和 审查 完成 ， 以 及 隐私 实施 评 
佑 。 除 了 这 些 之 外 ， 最 佳 实践 根据 功能 和 设计 规范 实施 ， 用 于 整个 SDL 过 程 的 剩余 阶段 。 本 
章 最 后 讨论 了 这 一 阶段 的 关键 成 功 因素 、 可 提交 的 成 果 和 度量 指标 。 
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本 章 将 讲解 安全 开发 生命 周期 中 的 设计 和 开发 阶段 (A4 ) 的 SDL 活动 (参见 图 6-1 )。 这 个 
阶段 可 以 参照 典型 软件 开发 生命 周期 中 的 “就 绪 ” 阶 段 。 我 们 将 延续 之 前 阶段 的 惯例 ， 从 对 这 
个 阶段 的 策略 依赖 分 析 开 始 ， 之 后 讲解 安全 测试 用 例 执 行 的 基本 元 素 。 建 立 合适 的 安全 测试 流 
程 ， 需 要 已 经 完成 创建 、 文 档 编写 和 测试 工作 ， 分 析 会 持续 进行 ， 直 到 使 软件 达到 所 需 的 安全 
级 别 的 调试 内 容 被 确定 。 接 下 来 会 讲解 自动 化 测试 工具 的 使 用 ， 如 静态 测试 工具 、 动 态 测试 工 
有 具 、 模 糊 测试 工具 ,这些 工具 能 够 以 较 低 的 花费 帮助 我 们 高 效 和 自动 化 地 增强 安全 实践 。 静 态 
分 析 在 源 代码 编译 前 进行 ， 提 供 可 扩展 的 方法 对 代码 进行 安全 检查 ， 以 保证 代码 遵循 了 编码 安 
全 策略 。 动 态 测试 监控 应 用 行为 ， 确 保 软 件 功能 与 设计 一 致 。 模 糊 测试 是 一 种 故意 向 应 用 程 
序 中 引入 畸形 或 随机 数据 ， 从 而 引发 程序 错误 的 测试 方法 ， 拥 有 高 效 、 低 成 本 的 特点 ， 在 整 
个 SDL 过 程 中 ， 特 别 是 在 软件 版 本 发 布 前 使 用 模糊 测试 寻找 潜在 安全 问题 。 模 糊 测试 是 一 种 
特殊 形式 的 动态 测试 。 使 用 最 新 版 本 的 自动 化 测试 工具 以 及 最 新 的 自动 化 安全 分 析 方 法 ， 可 
以 确定 软件 中 的 安全 漏洞 ， 以 及 需要 的 保护 措施 。 在 使 用 多 种 自动 化 工具 对 软件 的 缺陷 和 安 
全 漏洞 进行 快速 分 析 后 ， 接 下 来 应 该 对 代码 进行 人 工 审 查 ， 以 验证 每 个 发 现 的 问题 ， 从 而 克 
服 自动 化 工具 和 技术 自身 的 局 限 性 。 作 为 这 个 过 程 的 一 部 分 ， 攻 击 表面 和 威胁 模型 的 检查 用 
来 确认 是 否 能 够 抵御 任何 设计 导致 的 任何 新 的 攻击 向 量 或 实现 变更 已 经 确认 并 缓解 。 最 后 ， 
我 们 讨论 在 这 个 SDL 阶段 执行 的 用 户 隐私 的 验证 和 修复 的 必要 性 、 价 值 和 过 程 。 


6.1 A4 策略 一 致 性 分 析 


这 部 分 工作 是 之 前 章节 所 讲 的 A3 策略 依赖 检查 的 延续 。 我 们 会 在 不 同 阶段 重复 地 做 策略 
分 析 和 检查 工作 。 策 略 依赖 分 析 是 最 为 重要 的 工作 ， 你 要 坚持 通过 实际 的 工作 检查 之 前 的 迭 
代 是 否 柳 盖 了 所 有 策略 ， 而 不 是 通过 假设 。 在 这 个 步 又 中 ， 你 会 惊奇 地 发 现 之 前 的 阶段 和 和 
代 中 会 遗漏 多 少 东西 。 

在 这 个 阶段 ， 任 何 存在 于 SDL 域 之 外 的 策略 都 要 被 检查 (或 重新 检查 )。 这 些 策略 可 能 包 
含 当 在 组 织 中 开发 软件 或 应 用 时 来 自 开 发 组 织 之 外 的 策略 ， 这 些 组 织 维护 要 遵守 的 安全 与 隐 
私 需求 以 及 指导 方针 。 在 开发 过 程 中 策略 更 新 以 及 需求 增加 也 是 经 常 发 生 的 事 。 因 此 你 最 好 
能 够 对 照 策略 更 新 列表 并 确认 策略 中 已 经 包含 了 新 的 需求 。 

公司 的 安全 和 隐私 策略 可 能 指导 设计 者 与 开发 者 认识 安全 和 隐私 特征 需要 达到 什么 样 的 要 
求 ， 以 及 实现 的 必要 性 。 其 他 策略 可 能 会 关注 当做 软件 产品 的 一 部 分 使 用 的 第 三 方 以 及 开源 软 
件 ， 以 及 组 织 内 外 源 代 码 以 及 其 他 知识 产权 的 保护 和 控制 。 假 如 把 软件 安全 组 从 核心 信息 安全 
组 中 分 离 出 来 的 ， 就 要 特别 注意 这 两 个 组 关于 组 织 支持 的 开发 和 版 本 发 布 安全 的 策略 和 指导 方 
针 的 协作 沟通 工作 。 这 会 帮助 信息 安全 组 在 公司 安全 策略 / 实践 方面 以 及 软件 开发 方面 更 好 地 
调整 策略 。 这 也 对 你 的 公司 隐私 功能 的 协作 非常 重要 ， 无 论 它 在 核心 组 内 部 还 是 在 法 律 顾问 组 
外 部 。 如 果 公 司 发 现 了 新 的 市 场 ， 隐 私 策略 和 实践 应 该 针对 那个 特殊 的 市 场 进行 更 新 。 
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6.2 安全 测试 用 例 执行 


安全 测试 是 一 个 耗 时 的 过 程 ， 需 要 适当 的 准备 ， 确 保 前 后 一 致 ， 并 协调 所 有 利益 相关 方 ， 
以 及 对 什么 是 真正 测试 内 容 的 深刻 理解 。 安 全 测试 很 早 就 开始 ， 并 贯穿 整个 SDLC 过 程 。 安 
全 测试 方法 不 同 于 其 他 形式 的 测试 ， 因 为 安全 测试 的 目的 是 确认 软件 设计 中 由 于 不 合理 的 设 
计 或 代码 编写 问题 而 暴露 的 各 种 安全 漏洞 。 本 书 的 前 提 是 确保 源 代码 的 安全 ， 通 过 这 个 层面 
的 测试 ， 软 件 能 够 防止 许多 只 能 在 网 络 层面 才 会 暴露 的 典型 安全 问题 。 安 全 ， 特 别 是 在 设计 
层面 的 安全 分 析 ， 能 够 帮助 我 们 在 程序 成 为 大 型 系统 的 一 部 分 并 且 需 要 高 昂 的 修复 代价 之 前 ， 
发 现 潜在 的 安全 问题 和 可 能 造成 的 影响 。 软 件 安全 是 一 个 动态 的 风险 管理 过 程 ， 需 要 平衡 修 
复 安全 问题 的 花费 ， 以 对 抗 攻击 者 拥有 的 技术 与 资源 一 一 一 直 会 有 聪明 的 攻击 者 把 精力 投入 
在 挖掘 你 软件 的 安全 漏洞 并 对 软件 造成 破坏 上 。 因 此 ， 安 全 测试 必须 基于 利用 漏洞 以 及 可 能 
造成 的 相关 的 安全 风险 评估 每 个 事件 的 发 生 概率 。 

在 典型 的 SDLC 周期 中 ， 软 件 需 通过 QA (质量 保证 ) 测试 ， 包 括 单元 测试 、 性 能 测试 、 
系统 测试 ， 以 及 回归 测试 。 如 果 软 件 满 足 QA 测试 标准 ， 软 件 就 会 被 QA 组 赋予 “通过 ”的 
结果 。 基 本 上 ， 这 就 意味 着 软件 的 质量 已 经 通过 了 测试 并 能 够 正常 使 用 。 但 是 根据 作者 的 观 
点 ，QA 测试 并 不 意味 着 测试 的 完成 ， 只 有 对 软件 执行 了 所 有 安全 测试 并 且 通 过 所 有 的 安全 测 
试 标准 才 意 味 着 测试 完成 。 软 件 只 有 通过 了 全 面 的 安全 测试 才 算 质量 合格 的 产品 。 很 多 公司 
依然 把 威胁 安全 测试 当做 一 个 额外 的 测试 ， 这 种 做 法 是 错误 的 。 一 旦 QA 测试 完成 ， 软 件 才 
被 交付 安全 组 进行 安全 测试 。 根 据 我 们 的 观点 ， 惯 例 的 安全 测试 应 该 成 为 QA 周期 的 一 部 分 。 
QA 组 应 该 把 安全 测试 像 其 他 测试 一 样 对 待 ， 包 括 编写 测试 用 例 以 及 使 用 自动 和 人 工 方式 进 
行 安全 测试 。 但 是 QA 组 往往 不 具备 执行 安全 测试 的 能 力 ， 这 意味 着 QA 组 依赖 安全 组 执行 
所 有 测试 。 这 种 方式 并 不 十 分 有 效 ， 因 为 这 使 得 安全 组 不 得 不 将 大 量 本 该 用 在 应 对 高 级 威胁 
/个 案 上 的 测试 时 间 ， 花 费 在 了 执行 基本 的 安全 测试 上 。QA 安全 测试 并 不 意味 着 取代 安全 组 
的 安全 测试 。 相 反 ，QA 安全 测试 应 该 看 作 让 安全 组 将 精力 集中 在 高 级 测试 上 的 保证 。 下 面 是 
QA 安全 测试 应 该 查找 的 一 些 条 目 : 

。 配 置 文件 中 的 明文 口令 / 弱 口 令 

。 堆 中 的 默认 账户 (Apache 、Tomcat 、 操 作 系 统 ) 

。 日 志文 件 中 的 敏感 信息 

。 输 入 认证 (XSS, SQL YEA) 

。Web 应 用 的 参数 算 改 

。 软件 组 使 用 的 不 安全 服务 (如 Telnet) 

。 各 种 服务 的 安全 配置 (如 NFS) 

安全 组 不 仅 应 该 把 精力 投入 到 应 用 上 ， 还 要 投入 到 软件 运行 的 栈 上 。 这 意味 着 从 安全 的 
观点 看 ， 还 要 对 操作 系统 、 相 关 服 务 、Web 服务 器 等 各 种 相关 对 象 进 行 配置 测试 。 在 QA 组 
为 产品 给 出 “通过 ”的 结论 前 ， 应 对 整个 堆 (应 用 、 操 作 系 统 、Web 服务 器 、 存 储 ) 进行 基 
础 安全 项 测试 。 

安全 测试 用 例 执行 主要 从 两 个 方面 进行 开展 。 

1. 安全 机 制 : 确保 安全 机 制 的 功能 已 经 实现 。 

2. 安全 测试 : 在 理解 和 模仿 攻击 者 的 方法 后 ， 作 为 验证 威胁 模型 和 基于 风险 分 析 实 施 。 
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以 下 是 典型 情况 下 对 软件 产品 和 相关 系统 的 三 种 特定 的 测试 类 型 。 

1. 基准 测试 : 基准 测试 用 来 比较 系统 的 评估 状态 和 实际 状态 。 

2. 预定 测试 : 预定 测试 是 对 软件 和 相关 系统 强制 性 的 安全 性 验证 ， 无 论 是 否 是 安全 问题 
或 漏洞 都 必须 实施 检测 和 调试 。 

3. 探索 测试 : 探索 性 测试 强调 每 个 测试 者 的 个 性 自由 和 对 于 测试 质量 的 责任 ， 通 过 学 习 
测试 相关 的 知识 、 测 试 设 计 、 测 试 执行 、 测 试 结 果 解 释 持 续 地 优化 测试 质量 ， 在 项 目 中 采用 
相互 支持 的 方式 并 行 地 执行 测试 工作 。m 测试 人 员 积 极地 控制 测试 设计 ， 并 且 在 测试 过 程 中 
设计 新 的 和 更 好 的 测试 方法 。 

成 功 的 安全 测试 执行 计划 假设 : 

。 你 已 经 完成 了 对 软件 和 相关 系统 风险 的 细节 分 析 。 这 个 过 程 的 细节 参见 第 5 章 。 

。 测 试 资 产 已 经 成 为 风险 管理 计划 和 安全 工程 /开发 测试 策略 的 一 部 分 。 

成 功 的 安全 测试 执行 包含 以 下 要 素 。 

。 基线 和 基准 测试 已 经 执行 ， 确 保 已 经 在 测试 周期 的 早期 确认 明显 的 安全 问题 。 

。 已 经 验证 自动 化 测试 脚本 是 正确 的 。 

。 在 系统 调试 后 重新 进行 过 基准 测试 。 

。 建 立 起 未 来 测试 的 参照 基准 。 

。 安 全 测试 用 例 的 执行 结果 已 经 分 析 。 

图 测试 执行 结果 已 经 评估 。 你 经 验 丰 富 的 软件 安全 架构 师 在 这 项 工作 中 扮演 关键 角色 ， 
需要 使 用 他 们 的 技能 和 经 验 与 之 前 的 测试 结果 进行 比 对 ， 寻 找 和 分 析 明 显 或 潜在 安 
全 问题 ， 并 根据 他 们 过 去 的 经 验 来 评估 代码 调试 造成 的 影响 。 这 项 工作 与 其 说 是 科 
学 不 如 说 是 艺术 ， 为 了 进一步 评估 优化 调试 的 分 析 结果 ， 应 该 让 测试 人 员 和 开发 人 
员 在 安全 架构 师 给 出 初始 检查 和 评估 之 后 参与 到 这 项 工作 中 来 。 

图 你 已 经 确定 是 否 达 到 安全 测试 用 例 执 行 验收 标准 。 这 个 工作 指 把 最 新 的 测试 结果 与 
验收 标准 进行 比较 。 如 果 所 有 结果 达到 或 超过 了 安全 测试 执行 标准 ， 那 么 测试 就 结 
RT; 如 果 没 有 ， 测 试 组 应 该 继续 评估 测试 结果 。 

图 你 已 经 确定 安全 测试 用 例 执行 结果 是 否 有 定论 。 如 果 结 果 没 有 达到 验收 标准 ， 那 么 
测试 也 许 没 有 完结 ， 因 为 测试 结果 不 能 重复 而 且 你 不 能 确定 是 什么 引起 了 软件 中 的 
安全 问题 。 如 果 结果 没有 完结 ， 就 需要 进行 探索 测试 。 

图 你 已 经 确定 在 此 刻 是 否 需要 调试 。 在 这 个 阶段 ， 任 何 一 个 已 经 检测 出 来 的 安全 问题 
或 更 多 测试 需要 验证 是 否 符合 额外 的 验收 标准 。 要 么 最 后 的 测试 将 再 执行 一 次 以 验 
证 结果 是 否 可 以 复 现 ， 要 么 你 将 继续 调整 。 

图 一 些 测试 中 没有 发 现 安全 问题 ， 因 此 不 需要 调试 ， 但 是 软件 必须 测试 ， 因 为 需要 强 
制 验证 软件 以 及 相关 系统 的 安全 性 能 否 抵御 明确 已 知 的 软件 安全 问题 和 安全 漏洞 。 

成 功 的 安全 测试 用 例 执行 完成 标准 包含 以 下 内 容 。， 

。 经 过 测试 ， 软 件 已 经 达到 了 具体 的 安全 需求 和 目标 。 

。 当 出 现 超出 了 软件 安全 组 控制 、 无 法 解决 的 情况 时 ， 如 果 公司 股东 为 软件 的 开发 负责 

并 承担 风险 ， 当 出 现 以 下 情况 时 ， 安 全 测试 工作 可 以 视 作 完成 。 

图 妨碍 软件 安全 组 达到 安全 测试 用 例 标 准 的 情况 在 安全 组 控制 或 合同 责任 之 外 。 

图 预先 约定 的 最 终 期 限 已 经 到 达 ， 并 且 公司 股东 为 软件 开发 负责 并 接受 未 符合 安全 标 
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准 的 风险 。 在 很 多 情况 中 这 是 可 以 接受 的 ， 如 果 下 次 软件 升级 的 补丁 版 本 中 修复 漏 
洞 的 责任 已 经 被 列 人 日 程 。 

图 软件 安全 组 和 所 有 其 他 股东 认为 ， 尽 管 一 些 安全 需求 和 目标 没有 达到 ， 但 是 应 用 运 
行情 况 可 以 接受 。 在 之 前 情况 中 ， 这 是 不 能 接受 的 ， 除 非 在 下 次 软件 升级 和 版 本 发 
布 时 修复 漏洞 的 工作 被 提 上 日 程 。 


6.3 SDLC/SDL 过 程 中 的 代码 审查 


代码 审查 对 于 发 现 软件 开发 过 程 中 的 安全 缺陷 非常 有 效 。 适 当地 执行 代码 审查 对 于 代码 
安全 起 到 的 效果 甚至 比 所 有 其 他 活动 加 起 来 还 要 多 。 代 码 审查 可 以 让 你 在 代码 测试 或 安装 之 
前 就 找到 和 修复 大 量 安全 问题 。 有 4 种 分 析 软 件 应 用 安全 性 的 基本 技术 : 自动 扫描 、 人 工 渗 
透 测 试 、 静 态 分 析 ， 以 及 人 工 代 码 审查 。 当 然 ， 所 有 这 些 方法 都 有 各 自 的 优点 、 缺 点 、 擅 长 
的 方面 ， 以 及 无 法 胜任 的 方面 。 总 的 来 说 ， 这 4 种 安全 代码 审查 方法 可 能 是 最 为 快速 和 精确 
的 方法 ， 它 们 能 够 发 现 和 确定 大 量 安全 问题 ， 同 时 花费 较 少 的 投入 和 时 间 。 如 果 计划 和 管理 
得 当 ， 代 码 审查 是 性 价 比 非常 高 的 ， 特 别 是 如 果 代 码 审查 放 到 SDLC 过 程 中 ， 就 可 以 避免 接 
下 来 的 开发 阶段 或 软件 产品 发 布 后 处 理 、 定 位 、 修 复 安全 缺陷 等 环节 中 的 较 高 花费 。 应 该 对 
有 经 验 的、 充分 了 解 这 4 项 代码 审查 基本 技术 的 安全 人 员 进 行 充 分 授权 ， 以 保证 各 种 技术 能 
够 混合 使 用 从 而 建立 性 价 比 最 高 的 、 管 理 良好 的 、 合 适 的 测试 计划 ， 识 别 软件 开发 过 程 中 所 
有 潜在 和 已 知 重要 的 安全 问题 。 在 这 个 过 程 中 人 为 因素 也 将 有 助 于 定位 自动 化 工具 找到 的 安 
全 漏洞 。 这 种 全 面 的 方法 能 够 找到 安全 问题 或 潜在 的 安全 隐患 ， 证明 它 们 是 可 利用 的 并 通过 
检查 代码 来 证 实 。 这 种 方法 的 另 一 种 好 处 是 ， 它 能 够 帮助 软件 开发 组 获取 安全 开发 的 经 验 ， 
从 而 防止 未 来 出 现 类 似 的 安全 问题 。 这 个 过 程 可 以 在 图 6-2 展示 的 4 个 基本 步骤 完成 后 结束 ， 
并 将 在 下 面具 体 描 述 。 


| 确认 代码 安全 审查 对 象 


X 执行 初步 扫描 
和 |。 针对 安全 问题 进行 代码 检查 





检查 架构 方面 的 安全 问题 


图 6-2 4 个 步骤 的 代码 审查 周期 


1. 确定 安全 代码 审查 对 象 

在 这 个 步骤 中 ， 需 要 建立 起 代码 审查 的 目标 和 限制 ， 用 来 作为 整个 测试 计划 的 根据 。 对 
于 大 多 数 项 目 来 说 ， 没 有 计划 的 基本 原则 很 可 能 会 导致 项 目 失败 。 测 试 计 划 原 则 特别 适用 于 
代码 量 巨大 的 复杂 应 用 中 ， 如 SaaS/ 云 应 用 。 集 中 的 代码 审查 是 有 效 的 。 这 是 具体 的 目标 、 
时 间 限 制 、 发 现 安全 问题 的 知识 对 于 代码 检查 如 此 重要 的 原因 。 减 少 审查 的 时 间 需 求 将 显著 
增加 你 成 功 的 可 能 。 制 定 一 个 计划 将 会 让 代码 审查 人 员 每 次 都 将 精力 集中 在 审查 代码 上 ， 这 
是 一 个 有 意义 的 改变 ， 比 尝试 一 次 找到 所 有 安全 问题 或 等 到 项 目 尾声 一 次 审查 所 有 内 容 更 好 。 
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为 了 提高 效率 ， 你 应 该 在 审查 前 确定 之 前 审查 中 所 有 已 经 知道 的 安全 对 象 ， 区 分 已 经 在 之 前 
审查 中 提升 过 的 安全 缺陷 类 型 ， 否 则 会 把 精力 浪费 在 安全 对 象 范围 之 外 。 

如 果 在 其 他 安全 工作 的 基础 上 制定 代码 审查 计划 和 执行 代码 审查 会 取得 更 好 的 效果 ， 比 
如 之 前 章节 提 到 的 威胁 模型 。 威 胁 模型 能 够 确认 代码 的 高 威胁 区 域 ， 使 之 成 为 需要 进行 仔细 
审查 的 对 象 ， 审 查 结果 同样 用 来 确认 威胁 模型 中 的 具体 假设 ， 并 且 帮 助理 解 应 用 的 功能 、 技 
术 设 计 、 存 在 的 安全 威胁 和 对 策 。 安 全 代码 审查 应 该 从 威胁 模型 和 设计 说 明 开始 审查 ， 然 后 
青 审查 源 代码 。 

Chmielewski 等 在 《 MSDN 》 杂 志 上 对 理想 的 代码 审查 活动 流程 有 过 描述 。 

(a) 威胁 模型 : 理解 代码 和 数据 流 ; 确定 高 风险 区 域 和 输入 点 。 

(b) 代码 审查 : 以 适当 的 方式 收集 所 有 文档 和 程序 。 

(c) 解决 问题 : 与 代码 产权 人 合作 解决 发 现 的 问题 。 

(d) 吸取 教训 : 升级 工具 ， 培 训 开发 组 ， 改 进程 序 ， 计 划 未 来 的 迭代 工作 。 己 

为 了 使 代码 审查 更 加 有 效 ， 对 以 下 内 容 设 定 目标 和 限制 。 

。 时间: 设 定时 间 限 制 。 这 将 帮助 你 避免 在 一 个 问题 上 花费 太 多 的 时 间 。 执 行 多 次 小 型 

的 审查 比 执行 一 次 很 长 的 审查 效果 更 好 。 

。 问题 类 型 : 确定 寻找 什么 类 型 的 问题 。 比 如 ， 考 虑 : 

图 影响 保密 性 、 完 整 性 、 可 用 性 的 主要 问题 。 

图 关于 应 用 安全 服务 质量 需求 的 问题 

图 关于 应 用 服从 需求 的 问题 

图 关于 应 用 使 用 技术 的 问题 

图 关于 应 用 功能 暴露 的 问题 

图 找到 的 威胁 模型 的 问题 

。 查 找 范围 外 的 内 容 : 确定 什么 是 你 不 需要 找 的 。 解 释 为 什么 这 些 在 你 的 查找 范围 之 外 。 

2. 执行 初步 扫描 

静态 扫描 用 来 发 现 最 初 的 安全 问题 ， 同 时 能 够 加 深 你 对 在 接 下 来 更 加 完整 的 代码 审查 步 
台 中 最 有 可 能 发 现 额外 安全 问题 的 位 置 的 理解 。 这 是 通常 通过 自动 扫描 、 人 工 扫 描 或 者 丙种 
扫描 完成 ， 如 何 开展 工作 依赖 于 代码 审查 计划 中 的 审查 对 象 和 时 间 限 制 。 自 动 扫 描 在 大 型 应 
用 中 具有 快速 确定 “好 摘 的 果子 ”的 优点 。 自 动 扫描 的 结果 可 以 用 来 建立 需要 优先 审查 的 潜 
在 安全 漏洞 和 安全 机 制 的 列表 。 

自动 扫描 可 以 作为 人 工 审查 的 补充 ， 对 于 代码 量 很 大 、 人 工 花 费时 间或 成 本 过 高 的 软件 ， 
可 以 在 自动 扫描 确认 代码 区 域 后 人 工 集 中 处 理 ， 自 动 扫 描 还 可 以 发 现 人 工 审 查 可 能 会 漏 掉 的 
安全 问题 。 自 动 扫 描 工具 特别 擅长 对 单行 代码 、 多 行 组 成 的 单个 函数 进行 测试 ， 这 些 内 容 在 
人 工 审查 中 很 容易 遗漏 。 尽 管 自动 扫描 能 够 辅助 人 工 审 查 ， 它 依旧 不 能 替代 人 工 审 查 ， 因 为 
它 无 法 处 理 上 下 文 问 题 、 无 法 在 多 个 函数 中 查找 安全 问题 (如 在 SaaS/ 云 应 用 中 )。 自 动 化 工 
具 的 另 一 个 问题 是 它 会 有 大 量 的 漏 报 和 误 报 。 对 于 误 报 ， 这 类 结果 可 以 使 你 在 审查 代码 判断 
是 否 误 报 时 强化 你 对 代码 的 理解 ， 包 括 控 制 流 和 数据 流 。 使 用 自动 化 工具 的 另 一 风险 是 ， 如 
果 没 有 检测 出 安全 问题 就 会 认为 软件 是 安全 的 。 永 远 不 要 假设 一 个 庞大 和 复杂 的 软件 产品 没 
有 安全 漏洞 。 所 有 可 能 的 步骤 只 是 尽量 减少 代码 错误 的 数量 并 降低 由 此 导致 的 实际 影响 ， 但 
是 有 些 问题 总 是 会 遗漏 的 。 自 动 化 安全 测试 工具 可 以 发 现 大 量 代码 错误 ， 但 是 会 遗漏 一 些 安 
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全 漏洞 ， 这 些 安全 漏洞 隐藏 在 大 量 的 误 报 中 无 法 被 检测 出 来 。 人 工 源 代 码 分 析 无 法 替代 这 些 
工具 ， 但 是 当 人 工 源 代 码 分 析 与 这 些 工 具 相 结合 时 会 最 大 化 地 检测 出 安全 漏洞 。 就 像 这 本 书 
里 提 到 的 ， 它 需要 一 个 整体 的 安全 方法 ， 包 括 人 工 因 素 ， 用 来 保证 误 报 确实 是 误 报 ， 并 且 代 
码 确实 不 包含 无 论 使 用 什么 自动 化 检测 工具 都 无 法 发 现 的 安全 漏洞 。 两 种 方法 结合 起 来 能 够 
高 效率 地 、 高 性 价 比 地 查 出 更 多 的 安全 漏洞 。 由 于 这 些 原因 ， 自 动 审 查 结合 人 工 审查 是 最 好 
的 方法 。 

为 了 捕获 更 简单 的 安全 问题 ， 在 人 工 审查 之 前 应 先 使 用 自动 化 工具 对 代码 实施 检测 。 为 
了 防止 发 现 已 经 知道 的 安全 问题 ， 所 有 之 前 确认 的 安全 漏洞 都 应 被 修复 。 接 下 来 实施 人 工 审 
查 ， 用 来 更 好 地 理解 代码 并 识别 模式 。 扫 描 结果 确认 值得 代码 审查 人 员 进 一 步 分 析 的 区 域 ， 
代码 中 需要 分 析 的 安全 问题 在 下 面 的 第 3 步 中 。 但 是 这 个 工作 应 该 占 所 有 代码 审查 工作 时 间 
的 很 小 比例 ， 应 该 集中 精力 解决 以 下 问题 。 

。 输 入 数据 验证 : 应 用 程序 是 否 有 输入 验证 机 制 ? 验证 机 制 是 否 在 客户 端 、 服 务 端 都 能 

起 到 效果 ?是 否 有 验证 核心 机 制 ， 验 证 规范 是 否 已 经 覆盖 了 代码 库 ? 

。 负责 验证 和 授权 用 户 的 代码 : 应 用 程序 是 否 验证 用 户 ? 允许 什么 角色 ?他 们 之 间 如 何 

互动 ? 是 否 有 订 制 的 验证 和 授权 代码 ? 

。 错误 处 理 代码 : 是 否 有 持续 的 错误 处 理 机 制 ? 应 用 程序 能 否 获 取 和 抛 出 结构 异常 ? 是 

否 有 错误 处 理 特 别 多 或 特别 少 的 代码 区 域 ? 

。 复 杂 代 码 : 是 否 有 代码 特别 复杂 的 区 域 ? 

© 加密: 应 用 程序 是 否 使 用 加 密 ? 

。 互 操作 性 : 应 用 程序 是 否 使 用 互 操作 性 调用 本 地 代码 ?站 

3. 针对 安全 问题 进行 代码 检查 

步骤 2 的 结果 可 以 用 来 帮助 分 析 人 员 集 中 分 析 步 又 3。 

4. 检查 架构 方面 的 安全 问题 

这 是 软件 安全 架构 师 或 经 验 丰富 的 软件 安全 专家 施展 才华 的 地 方 。 如 果 你 不 具备 专业 技 
能 ， 可 能 会 用 到 第 三 方 人 员 。 专 家 应 用 他 们 对 业务 迎 辑 的 知识 、 使 用 或 滥用 用 例 、 之 前 工作 
的 经 验 来 确认 安全 漏洞 从 而 降低 误 报 和 漏 报 的 可 能 性 。 静 态 分 析 工 具 对 查找 应 用 程序 的 缺陷 
和 业务 逻辑 缺陷 的 安全 隐患 无 能 为 力 ， 需 要 对 应 用 程序 理解 的 人 员 进 行 确认 。 经 验 丰 富 的 安 
全 专家 使 用 SDLC 过 程 可 以 平衡 开发 者 可 能 会 忽略 某 些 代码 错误 的 思维 习惯 ,尽管 他 们 编写 
了 具体 的 代码 并 且 最 为 了 解 它 们 。 经 验 丰 富 的 专家 能 够 帮助 理解 代码 使 用 了 哪些 技术 ， 不 仅 
包括 软件 产品 使 用 的 具体 技术 ， 还 包括 操作 系统 、 第 三 方 的 使 用 工具 以 及 开发 工具 。 从 安全 
的 观点 看 ， 这 些 安全 专家 可 以 确认 一 款 产品 和 其 他 系统 、 应 用 软件 或 服务 器 之 间 的 关系 。 在 
安全 的 背景 下 ， 他 们 可 以 确认 一 款 软件 产品 依赖 什么 组 件 ， 什 么 软件 依赖 这 款 产 品 ， 以 及 它 
如 何 利用 这 些 关 系 用 来 确认 一 款 产 品 影响 剩 下 的 系统 ， 以 及 它 可 能 如 何 被 影响 。 人 为 错误 能 
够 引起 大 部 分 安全 问题 ; 使 用 目前 有 缺点 的 自动 化 测试 工具 ， 人 力 因 素 应 该 帮助 解决 问题 。 
例如 ， 一 个 小 的 编程 错误 能 够 导致 严重 的 安全 漏洞 ， 从 而 危害 整个 系统 或 网 络 的 安全 ， 由 于 
开发 周期 过 程 中 的 一 系列 错误 ， 引 入 编程 错误 并 且 没 有 在 测试 阶段 发 现 ， 同 时 可 用 的 防御 机 
制 无 法 阻止 攻击 者 成 功 攻 击 系统 。 这 是 另 一 个 说 明 在 该 过 程 中 需要 人 力 因 素 的 例子 ， 这 种 情 
况 超出 了 自动 化 安全 测试 工具 的 能 力 范围 。 

一 些 产 品 的 基础 设计 也 许 包 含 缺 陷 ， 这 些 应 该 被 记录 ， 尽 管 这 些 会 影响 产品 的 可 靠 性 ， 
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但 这 些 代码 错误 并 不 是 安全 漏洞 。 记 住 ， 安 全 检查 的 最 终 目的 是 寻找 代码 中 能 够 被 攻击 者 利 
用 进而 绕 过 安全 边界 的 安全 漏洞 。 


64 安全 分 析 工 具 


代码 安全 审查 的 最 终 目的 是 提升 产品 整体 的 安全 性 ， 使 开发 组 提升 安全 开发 的 能 力 从 而 
减少 代码 中 犯 的 错误 。 本 节 讨 论 各 种 测试 方法 在 整个 过 程 中 的 功能 和 角色 的 细节 ， 包 括 静 态 
分 析 、 动 态 分 析 、 模 糊 测 试 以 及 人 工 代 码 检查 。 但 是 在 开始 前 ， 我 们 需要 认识 到 每 种 方法 都 
有 各 自 的 优点 和 局 限 性 。 

代码 静态 分 析 的 优点 

1. 使 用 现 有 的 命令 可 以 使 软件 执行 

。 不 需要 猜测 和 解释 行为 。 

。 能 够 产生 所 有 软件 可 能 产生 的 行为 。 

2. 能 够 找到 代码 缺陷 的 精确 位 置 。 

3. 能 够 被 培训 过 的 完全 理解 代码 的 软件 保障 开发 人 员 使 用 。 

4. 允许 快速 修复 发 现 的 问题 。 

5. 自动 化 工具 运行 速度 很 快 。 

6. 自动 化 工具 能 够 扫描 整个 代码 库 。 

7. 自动 化 工具 能 够 提供 修改 建议 , 减少 研究 问题 的 时 间 。 

8. 能 够 在 开发 周期 早期 就 发 现 问 题 ， 减 少 修复 花费 。 

静态 代码 分 析 的 局 限 性 

1. 需要 使 用 代码 或 者 至 少 是 二 进 制 代 码 ， 静 态 代码 分 析 通 常 需要 使 用 足够 的 软件 工件 来 
执行 构建 。 

2. 静态 分 析 通 常 需要 熟练 地 执行 软件 构建 。 

3. 不 会 发 现 与 操作 配置 环境 相关 的 问题 。 

4. 如 果 人 工 执行 会 花费 大 量 时 间 。 

5. 自动 化 工具 不 支持 所 有 程序 语言 。 

6. 自动 化 工具 存在 误 报 和 漏 报 。 

7. 没有 足够 多 受到 培训 的 人 员 从 事 彻 底 执行 静态 代码 分 析 的 工作 。 

8. 自动 化 工具 会 给 人 所 有 问题 都 已 经 解决 的 安全 错觉 。 

9. 自动 化 工具 只 能 达到 扫描 规则 的 水 平 。 

10. 无 法 找到 运行 时 环境 引入 的 安全 缺陷 。 

动态 代码 分 析 的 优点 

1. 限制 发 现 问题 的 范围 。 

。 应 用 程序 必须 留 下 寻找 测试 区 域 的 轨迹 。 

。 这 会 导致 遗漏 区 域 。 

。 只 能 测试 已 经 发 现 的 。 

2. 不 使 用 实际 命令 执行 。 

。 工具 使 用 应 用 程序 。 

。 对 请 求 与 回应 进行 模式 匹配 。 
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3. 仅仅 需要 一 个 运行 的 系统 即 可 执行 测试 。 

4. 不 需要 使 用 源 代码 或 二 进 制 代码 。 

5. 不 需要 理解 如 何 编写 软件 或 构建 程序 。 

。 大 多 数 工具 只 要 人 工 运行 起 来 就 可 以 不 管 了 。 

6. 测试 一 个 具体 的 操作 部 署 。 

。 能 够 发 现 静态 分 析 工 具 会 遗漏 的 基础 结构 、 配 置 和 补丁 错误 。 

7. 在 运行 时 环境 下 确认 软件 的 安全 漏洞 。 

8. 自动 化 工具 能 够 灵活 地 确定 扫描 对 象 。 

9. 对 应 用 程序 的 分 析 可 以 不 使 用 程序 代码 。 

10. 能 够 确认 在 静态 分 析 中 漏 报 的 漏洞 。 

11. 对 静态 代码 分 析 结 果 进 行 确认 。 

12. 能 够 对 任何 应 用 程序 进行 测试 。 > 

动态 代码 分 析 的 局 限 性 

1. 自动 化 工具 会 给 人 所 有 问题 都 已 经 解决 的 安全 错觉 。 

2. 自动 化 工具 会 有 误 报 和 漏 报 。 

3. 自动 化 工具 只 能 达到 扫描 规则 的 水 平 。 

4. 就 像 静态 分 析 ， 没 有 足够 多 受到 培训 的 人 员 从 事 彻底 执行 动态 代码 分 析 的 工作 。 

5. 安全 漏洞 回溯 到 代码 中 精确 位 置 更 为 困难 ， 需 要 花费 更 多 时 间 来 修复 问题 。 

如 果 你 无 法 接触 源 代码 或 二 进 制 代码 ， 不 是 软件 开发 人 员 ， 不 理解 软件 构建 ， 或 者 对 操 
作 环 境 进行 简单 测试 ， 你 可 能 会 选择 动态 测试 工具 ;和 否则， 你 可 能 会 选择 静态 分 析 工 具 。 理 
想 情 况 下 ， 两 种 测试 工具 都 应 该 使 用 。 

模糊 测试 的 优点 

1. 模糊 测试 最 大 的 好 处 是 测试 设计 极为 简单 ， 你 不 需要 预先 知道 系统 行为 。 

2. 这 种 系统 化 / 随机 方法 往往 可 以 发 现 人 工 无 法 发 现 的 bug。 另 外 ， 当 测试 系统 完全 关闭 
(如 SIP 手机 ) 时 ， 模 糊 测 试 是 唯一 的 检查 方法 。 

3. 使 用 模糊 测试 找到 的 bug 往往 是 很 严重 的 ， 可 以 被 真实 的 攻击 者 加 以 利用 。 模 糊 测 试 
被 越 来 越 广泛 地 被 人 们 知道 ， 因 为 这 种 技术 和 工具 目前 被 攻击 者 用 来 发 现 软件 的 安全 隐患 。 
这 是 模糊 测试 具有 的 主要 优势 ， 相 比 二 进 制 代码 或 源 代码 审计 ， 以 及 模糊 测试 最 为 接近 的 测 
试 方法 一 一 故障 注入 一 一 依赖 于 人 工 故障 条 件 因 此 发 现 的 问题 很 难 甚至 无 法 被 利用 。 

模糊 测试 的 局 限 性 

1. 模糊 测试 工 倾向 于 查找 简单 的 bug; 另外 ， 适 用 于 特定 协议 的 模糊 测试 越 多 ， 能 否 发 现 
奇怪 错误 的 数量 就 越 少 。 这 就 是 彻底 / 随机 方法 依旧 很 流行 的 原因 。 

2. 另 一 个 问题 是 ， 当 你 做 黑 盒 测试 的 时 候 ， 你 往往 攻击 的 是 一 个 关闭 的 系统 ， 这 就 增加 
了 评估 发 现 的 安全 问题 的 危险 /影响 (不 是 指 修复 bug 的 可 能 性 )。 

3. 用 模糊 测试 查找 程序 错误 的 主要 问题 是 ， 找 的 总 是 非常 简单 的 错误 。 问 题 是 指数 增长 
的 ， 每 个 模糊 测试 工具 都 有 在 时 间 表 中 找到 人 们 感 兴趣 的 问题 的 捷径 。 较 早 的 模糊 测试 工具 
可 能 有 比较 低 的 代码 覆盖 率 ; 比如 ， 如 果 输入 包含 一 个 没有 经 过 适当 升级 后 用 来 匹配 其 他 随 
机 信息 的 校 验 和 ， 只 验证 通过 校 验 和 的 代码 。 代 码 覆 盖 工 具 经 常用 来 评估 模糊 测试 工具 的 质 
量 ， 但 是 这 只 是 一 个 参考 。 每 个 模糊 测试 工具 都 能 找到 不 同类 型 的 bug。™ 中 
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人 工 源 代码 审查 的 优点 

1. 不 需要 技术 支持 。 

2. 能 在 很 多 情况 下 使 用 。 

3. 灵活 。 

4. 促进 团队 协作 。 

5. Æ SDLC 的 早期 。 

人 工 源 代码 审查 的 局 限 性 

1. 花费 大 量 时 间 。 

2. 并 不 是 一 直 有 合适 的 条 件 。 

3. 人 员 需 要 很 好 的 技能 才能 够 有 效 。™ 


6.4.1 静态 分 析 


静态 程序 分 析 是 在 计算 机 软件 实际 上 不 执行 的 情况 下 进行 的 测试 。 静 态 分 析 主 要 用 在 某 
一 版 本 程序 源 代码 的 分 析 上 ， 它 也 会 用 在 对 象 代 码 上 。 相 比较 ,动态 分 析 实 际 上 是 在 软件 程 
序 执行 后 进行 测试 的 。 静 态 分 析 是 使 用 自动 化 工具 进行 测试 的 ， 不 要 与 人 工分 析 或 软件 安全 
架构 检查 混淆 ， 后 者 一 般 包 括 人 工 代码 审查 ， 需 要 对 程序 有 一 定理 解 。 当 静态 分 析 使 用 得 当 
时 ， 它 相 比 人 工 静 态 分 析 的 显著 优势 就 会 显现 出 来 ， 它 可 以 使 用 比 开 发 者 更 多 的 安全 知识 
频繁 地 进行 测试 。 而 当 确实 需要 时 再 使 用 专业 的 安全 架构 师 或 工程 师 。 

静态 分 析 ( 见 图 6-3) 也 称 为 静态 应 用 程序 安全 分 析 (SATA)。 它 在 开发 和 质量 保障 (QA) 
阶段 对 安全 漏洞 进行 确认 .SATA 提供 代码 行 级 别 的 检测 ， 确 保 开 发 组 可 以 迅速 修复 安全 漏洞 。 


输入 测试 输出 (确认 洪 
( 源 代码 ) $ olo | 在 的 缺陷 ) 


*。 已 经 获得 软件 将 确认 XSS, SQL 
要 执行 的 指令 注入 等 缺陷 ， 以 
。 能 够 准确 定位 有 及 应 用 程序 相关 
问题 的 代码 的 配置 错误 和 补 
。 软 件 开发 者 能 够 丁 错误 
在 代码 审查 之 前 。 限 定 发 现 问题 的 
执行 代码 


范围 
* 确认 操作 环境 或 
运行 时 的 漏洞 


图 6-3 静态 分 析 流 程 图 


成 功 的 另 一 个 关键 因素 是 使 用 静态 分 析 工 具 和 选择 适合 于 测试 环境 的 测试 工具 厂商 。 能 
够 对 软件 任何 部 分 进行 自动 化 测试 的 技术 都 是 受 欢迎 的 ， 但 是 由 于 没有 选择 正确 的 人 和 /或 
正确 的 步骤 对 测试 工具 进行 选择 ， 软 件 在 一 些 机 构 中 就 会 变 成 “闲置 的 ”。 并 不 是 所 有 工 
具 都 是 一 样 的 : 有 的 工具 比较 善于 以 特定 语言 编写 的 程序 ， 而 一 些 工 具 擅 长 前 端 GRC ( 控 
制 、 风 险 管理 、 一 致 性 ) 以 及 度量 分 析 功 能 。 一 些 情况 下 ， 你 需要 使 用 三 种 不 同 的 测试 工具 
以 保证 测试 的 有 效 性 。 一 些 受 欢迎 的 SAST 厂商 产品 有 Coverity "', HP Fortify Static Code 
Analyzer ""、 IBM Security AppScan Source """!, kloework "”、Parasoft ?, LAR Veracode, P" 


使 用 静态 分 析 工 具 的 一 个 挑战 是 ， 当 分 析 一 个 与 闭 源 组 件 或 外 部 系统 进行 交互 的 应 用 时 ， 
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误 报 往往 会 写 在 报告 中 ， 由 于 没有 源 代码 ， 不 可 能 对 外 部 系统 中 的 数据 流 进行 跟踪 并 确保 数 
据 的 整体 性 和 安全 性 。 静 态 代码 分 析 工 具有 时 也 会 有 漏 报 ， 安 全 漏洞 存在 但 工具 无 法 找 出 它 
们 。 这 可 能 发 生 在 以 下 情况 下 ， 如 果 在 一 个 新 的 外 部 组 件 中 安全 漏洞 ， 或 如 果 分 析 工 具 没有 
运行 时 环境 以 及 它 是 否 安全 配置 的 知识 。 静 态 检测 工具 经 常会 出 现 误 报 ， 即 工具 报告 存在 但 
实际 上 并 不 存在 的 安全 漏洞 。 这 种 情况 将 常 出 现 ， 因 为 工具 无 法 确定 通过 应 用 程序 的 输入 、 
输出 时 数据 的 整体 性 和 安全 性 。™™ 
Michael Howard， 在 他 的 2006 年 IEEE 的 安全 与 隐私 大 会 上 发 表 了 名 为 “执行 代码 安全 
审查 流程 ”的 文章 ， 建议 用 如 下 辅助 办 法 确定 代码 审查 优先 级 。 这 些 办 法 可 以 用 来 作为 作为 
确定 静态 测试 、 动 态 测试 、 模 糊 测试 和 人 工 代码 审查 优先 级 的 指导 。 
。 旧 代码 : 旧 代 码 存在 比 新 代码 更 多 的 安全 漏洞 ， 因 为 新 代码 对 安全 问题 了 解 更 多 。 所 
有 “遗留 ”代码 都 应 该 进一步 审查 。 
。 默 认 运 行 的 代码 : 攻击 者 从 运行 默认 安装 的 代码 进行 攻击 。 这 部 分 代码 应 该 比 其 他 代 
码 更 早 、 更 深入 地 进行 审查 。 上 默认 运行 的 代码 增加 了 应 用 程序 的 攻击 表面 。 
。 在 高 级 环境 下 运行 的 代码 : 在 高 级 标识 (如 *nix 中 的 root 用 户 ) 下 运行 的 代码 ， 也 需 
要 更 早 和 更 深入 地 审查 ， 因 为 代码 标识 是 另 一 个 攻击 表面 的 部 分 。 
。 匿名 用 户 涉及 的 代码 : 涉及 匿名 用 户 的 代码 应 该 更 深入 地 审查 ， 因 为 只 有 合法 用 户 和 
管理 员 才 能 够 进入 系统 。 
。 全 局 监听 网 络 接口 通信 的 代码 : 默认 监听 网 络 的 代码 ， 特 别 是 不 受 探 的 网 络 ， 例 如 互 
联网 ， 是 潜在 的 风险 ， 必 须 深入 检查 安全 隐患 。 
。 使 用 C/C++ 汇编 语言 编写 的 程序 : 由 于 这 些 语言 编写 的 程序 能 够 直接 访问 内 存 ， 存 在 
操作 缓存 的 风险 ， 可 能 经 常用 于 恶意 代码 执行 的 情况 ， 如 导致 缓冲 区 溢出 。 用 这 些 语 
言 编 写 的 代码 应 该 深入 地 分 析 是 否 有 缓冲 区 溢出 漏洞 。 
。 有 安全 隐患 历史 的 代码 : 过 去 存在 很 多 安全 漏洞 的 代码 应 该 被 怀疑 ， 除 非 能 够 证 明 这 
些 安全 漏洞 已 经 被 有 效 地 移 除 。 
。 处 理 敏 感 信 息 的 代码 : 处 理 敏 感 信息 的 代码 应 该 被 分 析 ， 以 确认 这 些 代码 不 存在 将 这 
些 数据 暴露 给 不 可 信用 户 的 弱点 。 
。 复 杂 代 码 : 复杂 代码 有 bug 的 可 能 性 很 高 ， 因 为 这 些 代码 更 加 难 懂 ， 因 此 存在 安全 漏 
洞 的 可 能 性 更 高 。 
。 频繁 更 改 的 代码 : 代码 频繁 更 换 经 常 导致 新 bug 的 引入 。 这 些 bug 不 一 定 是 安全 漏洞 ， 
但 是 与 不 怎么 更 新 的 稳定 代码 相 比 ， 这 些 不 稳定 的 代码 更 可 能 出 现 漏洞 。 
在 Michael Howard 的 2004 微软 大 会 上 的 名 为 “最 小 化 暴露 给 不 可 信用 户 的 代码 以 降低 
安全 风险 ”的 文章 中 ， 他 建议 一 种 概念 性 的 三 阶段 分 析 过 程 以 优化 静态 工具 的 使 用 。 
阶段 1: 运行 所 有 可 用 的 代码 分 析 工 具 
。 多 种 工具 应 该 互相 弥补 各 自 的 局 限 性 ， 尽 量 减少 漏 报 和 误 报 。 
。 分析 过 程 中 应 该 注意 每 个 警告 或 错误 。 
。 如 果 多 个 工具 都 对 一 段 代码 有 和 警告， 说 明 这 上 段 代码 需要 进一步 的 安全 检查 (比如 人 工分 析 )。 
代码 应 该 尽早 评估 ， 最 好 对 每 个 版 本 都 进行 评估 ， 并 且 在 每 个 里 程 碑 都 进行 重新 评估 。 
阶段 2: 寻找 共同 的 安全 漏洞 模式 
。 分 析 人 员 应 确保 代码 审查 涵盖 了 最 多 的 安全 漏洞 和 缺陷 ， 例 如 整数 运算 问题 、 缓 冲 区 
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溢出 、SQL 注入 、 跨 站 注入 (XSS). 

。 这 些 公共 安全 漏洞 和 缺陷 的 信息 来 自 公 共 漏 洞 披露 (CVE) 和 公共 缺陷 枚 举 (CWE) 数据 

库 中 ,由 MITRE 公司 进行 维护 ， 链 接 是 : http://cve.mitre.org/cve/ 和 http://cwe.mitre.org. 

。MITRE 是 与 SANS 合作 的 机 构 ， 也 维护 一 个 “排名 最 高 的 25 个 最 危险 的 程序 错误 ” 列 

K (http:/Wcwe.mitre.org/top2S/index.html)， 这 些 程序 错误 会 导致 严重 的 安全 漏洞 。 

。 静 态 代码 分 析 工 具 和 人 工 技术 至 少 应 该 定位 “排名 最 高 的 25 个 最 危险 的 程序 错误 ”中 

的 错误 。 

阶段 3: 深入 分 析 风 险 代 码 

。 分析 人 员 应 该 使 用 人 工分 析 (如 代码 检测 ) 对 基于 攻击 表面 风险 代码 或 之 前 讨 ; 企 过 的 启 

发 式 问题 已 经 确认 的 任何 风险 代码 ， 进 行 更 为 彻底 的 评估 。 

。 代 码 审查 应 该 在 每 个 模块 的 入口 点 进行 审查 ， 并 跟踪 通过 系统 的 数据 流 ， 评估 数据 ， 

它 是 如 何 使 用 的 ， 以 及 是 否 危 害 安全 对 象 。 

以 下 是 一 个 通过 静态 分 析 找 到 的 安全 问题 的 例子 。 注 入 漏洞 在 OWASP 2013 年 排名 最 高 
的 10 个 安全 问题 列表 中 。 这 类 漏洞 发 生 的 原因 是 ， 不 可 信和 数据 作为 结构 化 的 命令 未 经 确认 就 
直接 用 来 查询 。 注 入 漏洞 有 不 同 的 类 别 ， 如 SQL、OS 和 LDAP。 如 果 用 户 输入 直接 用 来 构建 
一 个 SQL 查询 ，SQL 注入 攻击 就 会 成 功 。 

用 户 检 查 他 账户 的 细节 。 应 用 程序 需要 他 的 用 户 id 或 标识 符 从 后 端 数据 库 查 询 账户 信 
息 。 应 用 程序 可 以 通过 一 个 URL 链接 参数 绕 过 身份 鉴别 过 程 ， 例 如 : 


hetp://example.com/application/reviewaccount?account_id='1007’ 


在 这 个 例子 中 ， 应 用 程序 获得 用 户 account id 为 “1007*， 并 使 用 这 个 id 获取 数据 库 的 信 
息 。 后 端 查 询 是 这 样 的 : 
String insecureQuery = “SELECT * FROM accounts WHERE 


accountID=’ ”+ request.getParameter(“account_id”) +“? ” 
如 果 恶 意 用 户 将 参数 的 值 改 为 "or ‘1' = '1， 接 下 来 不 安全 的 字符 串 查询 会 获得 这 个 值 : 
SELECT * FROM accounts WHERE accountID=’ ”‘ or ‘1’=’1’; 


会 永远 为 真 ， 因 此 这 个 查询 结果 会 产生 所 有 账户 信息 。 这 显然 不 是 开发 者 的 意图 ， 
jouer eae, 他 允许 恶意 用 户 执行 任意 数据 库 命令 。 
静态 分 析 工 具 对 代码 的 分 析 能 够 确认 用 户 输入 构成 的 查询 能 够 导致 SQL 注入 攻击 。 


6.4.2 ”动态 分 析 


动态 程序 分 析 是 通过 在 真实 或 虚拟 处 理 器 上 运行 程序 进行 计算 机 软件 分 析 的 方法 。 动 态 
测试 的 目标 是 在 程序 运行 时 找到 程序 的 安全 问题 ， 而 不 是 在 软件 离线 时 重复 检查 代码 。 通 过 
在 设计 的 所 有 场景 下 调试 程序 ， 动 态 分 析 无 需 人 工 构建 可 能 会 产生 错误 的 环境 。 动 态 分 析 对 
于 确认 静态 分 析 结 果 中 误 报 的 漏洞 有 很 大 的 优势 。 

动态 分 析 ( 见 图 6-4 ) 也 称 为 动态 应 用 软件 安全 检测 (DAST)。 它 用 来 确认 应 用 软件 
产品 中 的 安全 漏洞 。DAST 工具 用 来 快速 评估 系统 的 整体 安全 性 ， 在 SDL 和 SDLC 中 都 会 
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用 到 。 动 态 分 析 与 静态 分 析 有 相同 的 优点 和 注意 事项 。 一 些 受 欢迎 的 DAST 厂 商 的 产品 包 
括 HP Webinspect ' 和 QAinspect P”, IBM 的 Securit AppScan Enterprise °*!, Veracode P”! #1 
Whitehat Sentinel Source °"). 





输出 (确认 洪 

在 的 缺陷 ) 
。 不 需要 获得 所 有 。 确 认 的 缺陷 包括 
软件 将 要 执行 的 缓冲 区 溢出 、SQL 
实际 指令 注入 、XSS、 内 存 

。 不 能 定位 有 问题 泄漏 、 弱 密码 
的 代码 。 不 能 发 现 运行 时 
*“ 在 操作 环境 下 执 环境 或 操作 配置 
行 引入 的 安全 漏洞 
。 不 能 发 现 验证 问 
题 、 业 务 逻 辑 缺 
陷 或 不 安全 的 加 

密 问 题 


图 6-4 动态 分 析 流程 图 


接 下 来 对 于 贯穿 SDLC 中 如 何 使 用 动态 分 析 的 说 明 来 自 Peng 和 Wallace (1993 ) NIST 特 
殊 出 版 物 S00-209,《 软 件 错误 分 析 》。5 
。 通 常 在 设计 阶段 使 用 动态 分 析 技 术 包括 粒度 和 时 间 分 析 、 原 型 分 析 ， 以 及 模拟 。 粒 度 
和 时 间 分 析 对 于 实时 程序 的 分 析 很 有 用 ， 包 括 响应 时 间 需 求 、 内 存 限 制 、 执 行 空间 需 
求 。 这 种 类 型 的 分 析 尤 其 适用 于 确定 硬件 与 软件 的 协作 是 否 符合 设计 架构 ;在 系统 测 
试 中 发 现 由 系统 基础 设计 引起 的 性 能 问题 需要 花费 大 量 的 成 本 。 自 动 模拟 适合 大 型 的 
设计 。 原 型 分 析 能 够 用 来 帮助 检查 整体 的 设计 架构 或 一 组 特定 的 函数 。 对 于 大 型 的 、 
复杂 的 系统 ， 原 型 分 析 可 以 避免 不 适合 的 设计 导致 耗费 大 量 系统 资源 的 情况 。5 
。 动 态 分 析 技 术 帮 助 确定 代码 的 功能 和 计算 的 正确 性 。 回 归 分 析 用 来 在 重要 代码 编写 完 
成 后 重新 评估 需求 和 设计 条 目 。 这 种 分 析 确 保 对 原始 系统 需求 的 认识 。 粒 度 和 时 间 分 
析 在 代码 增 量 开 发 过 程 中 执行 ， 将 分 析 结 果 与 预测 值 进行 比 对 。™ 
。 在 测试 阶段 的 动态 分 析 涉 及 不 同类 型 的 测试 方法 和 测试 策略 。 传 统 上 有 4 种 测试 类 型 : 
单元 测试 、 集 成 测试 、 系 统 测试 、 验 收 测试 。 单 元 测试 是 对 软件 单元 、 模 块 或 子 程序 
的 结构 性 或 功能 进行 的 测试 。 结 构 性 测试 检测 软件 单元 的 逻辑 ， 用 来 支持 测试 覆盖 的 
需求 一 一 程序 有 多 大 程度 被 执行 。 功 能 性 测试 评估 软件 实现 了 多 少 软 件 需 求 。 功 能 性 
测试 中 , 测试 人 员 往 往 没有 任何 程序 设计 信息 ， 因 为 测试 用 例 是 基于 软件 需求 的 。 呈 
。SDLC 最 后 阶段 的 最 为 常用 的 动态 分 析 技 术 是 回归 分 析 和 测试 、 模 拟 ， 以 及 测试 认证 。 
当 这 个 阶段 中 产品 发 生 了 改变 时 ， 回 归 测 试用 来 证 明 程 序 没有 违反 影响 程序 其 他 区 域 
的 基本 需求 和 设计 假设 。 模 拟 用 来 测试 操作 员 步 又 和 隔离 配置 错误 。 测 试 认 证 ， 特 别 
是 在 关键 软件 系统 中 ， 用 来 证 明 需 要 的 测试 已 经 执行 完毕 ， 交 付 的 软件 产品 与 认证 和 
验证 的 软件 产品 是 一 致 的 。5 
静态 分 析 工 具 通 过 需要 分 析 源 代码 查找 问题 。 动 态 分 析 工 具 不 需要 源 代码 就 可 以 确定 问题 。 
在 讨论 静态 分 析 时 ， 我 们 介绍 了 一 个 SQL 注入 攻击 例子 。 在 那个 例子 中 ， 工 具 能 够 确认 那个 
account id 能 够 以 URL 参数 的 形式 通过 验证 、 尝 试 算 改 参数 的 值 并 评估 应 用 程序 的 响应 。 
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6.4.3 ”模糊 测试 


模糊 测试 ( 见 图 6-5 ) 是 一 种 自动 化 或 半自动 化 的 黑 盒 软件 测试 技术 ， 它 为 计算 机 软件 输 
入 提供 非法 的 、 非 预期 的 数据 或 随机 数据 。 换 句 话说， 模糊 测试 通过 自动 化 方式 注入 不 正确 
的 、 半 不 正确 的 数据 寻找 软件 bug 或 安全 缺陷 。 软 件 程序 的 输入 用 于 监控 是 否 有 异常 返回 ， 
如 程序 崩溃 、 内 置 的 代码 断言 错误 ， 以 及 潜在 的 内 存 泄漏 。 模 糊 测试 已 经 成 为 测试 软件 或 计 
算 机 系统 安全 问题 的 关键 元 素 。 模 糊 测 试 比 起 其 他 测试 方法 的 一 个 明显 优点 是 测试 设计 极为 


简单 并 且 对 系统 行为 没有 偏见 。 
CHER) aren 





。 不 需要 知道 软件 © 能够 确定 的 缺陷 
执行 的 实际 指令 包括 应 用 程序 / 系 
© 不 能 定位 有 问题 Be A. PYF it 
的 代码 漏 、 错 误 处 理 以 
。 使 用 能 引起 应 用 及 非法 输入 问题 
程序 崩溃 的 随机 。 几 乎 发 现 不 了 不 
或 非法 输入 能 造成 系统 崩溃 
的 bug 


图 6-5 模糊 测试 流程 图 


模糊 测试 是 软件 安全 的 关键 因素 ， 必 须 嵌 入 在 SDL 中 。 很 多 厂商 选择 了 这 个 领域 ， 并 且 
开发 了 自己 的 工具 。 有 两 个 流行 的 模糊 测试 工具 ， 一 个 是 Codenomicon ", CETA LRA 
成 熟 的 商用 模糊 测试 工具 之 一 ; 另 一 个 是 Peach Fuzzing Tool '”, 它 是 最 为 流行 的 开源 模糊 测 
试 工具 之 一 。 模 糊 测试 用 在 安全 测试 和 质量 保障 测试 中 。 目 前 认为 在 许多 软件 开发 程序 中 模 
糊 测试 是 关键 元 素 和 主要 缺陷 ， 以 至 于 它 现 在 成 为 美国 防御 部 (DoD) 信息 保障 认证 和 认可 流 
程 (DIACAP) 需求 。 

模糊 测试 是 一 种 对 系统 开放 接口 输入 非 预 期 数据 并 对 系统 行为 进行 监控 的 攻击 模拟 形式 。 
如 果 系 统 出 错 ， 例 如 骨 溃 或 内 置 程序 断言 错误 ， 就 说 明 软 件 有 和 缺陷。 与 静态 分 析 工 具 不 同 ， 
尽管 模糊 测试 工具 找到 的 所 有 问题 都 是 危险 的 和 可 利用 的 ， 但 是 模糊 测试 只 能 找到 通过 开放 
接口 进入 系统 的 bug。 模 糊 测试 工具 必须 能 和 测试 软件 进行 互 操作 ， 这 样 模糊 测试 工具 才能 
进入 更 深 的 协议 层 并 通过 测试 多 个 层面 更 彻底 地 测试 系统 。 

尽管 静态 分 析 对 代码 有 完整 的 覆盖 率 ， 并 且 能 够 提升 整体 软件 质量 水 平 ， 但 它 不 能 简单 
地 提供 解决 复杂 问题 的 测试 结果 ， 并 且 就 像 之 前 讨论 的 ， 静态 测试 会 导致 大 量 误 报 ， 这 两 个 
问题 都 需要 借助 人 力 进一步 分 析 并 消耗 宝贵 和 有 限 的 资源 。 模 糊 测 试 没有 误 报 ， 因 为 发 现 的 
每 个 缺陷 都 是 一 个 攻击 模拟 的 结果 。 

静态 分 析 是 对 没有 执行 的 代码 进行 的 ， 并 且 只 能 在 离线 条 件 下 执行 。 作 为 对 比 ， 模 糊 测 
试 必须 对 可 执行 的 代码 进行 ， 能 够 对 运行 的 软件 进行 ， 因 此 能 够 找到 静态 代码 中 不 易 找 出 的 
安全 漏洞 。 模 糊 测 试 的 目标 是 攻击 者 也 会 找到 的 ， 因 此 模糊 测试 是 可 靠 性 很 好 的 测试 方法 ， 
通过 将 所 有 精力 只 集中 在 最 危险 的 并 且 易 受 攻击 的 接口 上 优化 程序 。 由 于 模糊 测试 具有 健壮 
性 测试 的 能 力 ， 在 产品 发 布 前 SDLC 的 验证 阶段 会 通常 使 用 模糊 测试 。 就 像 静态 分 析 和 动态 
分 析 ， 可 以 在 软件 组 件 刚 完成 或 版 本 发 布 之 后 进行 模糊 测试 ， 而 不 一 定 只 在 SDLC 过 程 的 确 
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定时 刻 。 当 然 ， 这 种 特点 能 够 使 安全 漏洞 在 SDLC 的 早期 就 被 发 现 和 修复 ， 显 著 减 少 发 现 和 
修复 漏洞 花费 的 时 间 。 

标准 的 模糊 测试 技术 受 限 于 其 使 用 随机 突变 的 方式 生成 测试 用 例 ， 这 种 测试 技术 只 能 找 
到 软件 的 一 部 分 安全 漏洞 。 但 是 ， 这 项 工作 依然 是 有 意义 的 ， 因 为 这 些 漏 洞 与 攻击 者 发 现 的 
漏洞 相同 。 请 记 住 ， 攻 击 者 也 使 用 模糊 测试 工具 ， 如 果 探 测 者 或 攻击 者 使 用 模糊 测试 工具 在 
已 经 发 布 给 客户 的 版 本 中 发 现 安全 缺陷 ， 就 说 明 这 个 软件 安全 性 很 差 的 程序 存在 很 严重 的 问 
题 。 更 精细 的 模糊 测试 技术 用 来 提升 和 优化 代码 覆盖 率 ， 方 法 是 使 用 与 目标 协议 区 域 匹配 的 
特定 协议 对 最 易 被 利用 的 安全 漏洞 进行 检测 ， 并 且 可 以 在 不 降低 代码 覆盖 率 的 前 提 下 减少 测 
试用 例 的 数量 。 静 态 代码 分 析 用 来 保证 代码 遵守 安全 代码 策略 ， 而 协议 模糊 测试 工具 用 来 揭 
示 攻 击 者 角度 下 可 能 存在 的 威胁 和 风险 。 

模糊 测试 的 另 一 个 优点 是 它 能 够 用 在 黑 盒 测 试 、 灰 盒 测试 、 白 盒 测试 中 ， 不 需要 使 用 源 
代码 。 就 像 本 章 讨论 过 的 动态 分 析 工 具 一 样 ， 这 种 特征 使 模糊 测试 成 为 不 需要 外 包 开 发 的 第 
三 方 软件 的 测试 中 优秀 的 测试 方法 。 然 而 ， 模 糊 测 试 的 一 个 缺点 是 它 的 侵入 性 ， 很 容易 导致 
系统 崩溃 ， 在 隔离 的 环境 (比如 测试 实验 室 或 虚拟 环境 ) 下 这 需要 进行 初步 测试 。 

模糊 测试 分 为 两 大 类 ,“ 聪 明 型 ”和 “笨拙 型 ”。 

。 在 聪明 型 (增长 型 ) 模糊 测试 中 ， 模 糊 测试 工具 以 一 种 逻辑 方式 对 程序 进行 输入 ， 一 般 

方式 是 等 待 系统 响应 和 可 能 出 现 的 堆 改变 。 这 种 方法 需要 对 目标 系统 和 专用 工具 进行 

深入 了 解 ， 但 是 比 起 “笨拙 型 ”模糊 测试 会 有 更 少 的 系统 崩溃 分 析 和 重复 结果 。 

。 在 “笨拙 型 “突变 型 ) 模糊 测试 中 ， 模 糊 测 试 工具 会 系统 地 将 数据 推送 给 程序 而 不 等 待 

合适 的 响应 。 这 种 方法 不 需要 对 目标 系统 和 已 有 工具 的 使 用 方法 进行 了 解 。 但 是 ， 需 

要 分 析 结 果 ， 并 且 比 “聪明 型 ”模糊 测试 有 更 多 的 重复 结果 。 

为 了 实施 模糊 测试 ， 每 个 文件 或 字段 应 循 以 下 步 又 向 应 用 程序 输入 : 

1. 向 输入 文件 输入 随机 数据 或 空格 。 

2. 使 用 那个 文件 对 应 用 程序 进行 测试 。 

3. 评估 结果 。 破 坏 了 什么 ?什么 正常 运行 ? 什么 是 期 望 发 生 的 ? 

4. 把 每 个 测试 用 例 和 报告 发 现 的 问题 报告 给 项 目 管理 人 员 。™ 


644 ”人 工 代 码 审 查 


人 工 安全 代码 审查 是 通常 对 软件 产品 进行 逐 行 检查 以 发 现 安全 漏洞 的 方法 。 这 可 能 会 包 
括 对 多 层 和 多 组 件 的 企业 软件 产品 的 程序 源 代码 进行 彻底 审查 。 在 使 用 多 种 能 够 快速 分 析 代 
码 缺 陷 和 安全 漏洞 的 自动 化 工具 后 ， 进 行人 工 代码 审查 。 人 工 审查 代码 以 确认 每 个 发 现 的 问 
题 ， 从 而 克服 自动 化 工具 和 技术 的 局 限 。 尽 管 使 用 不 同 的 方法 能 够 发 现代 码 错误 ， 但 是 人 工 
代码 审查 依然 比 最 精密 的 工具 有 更 高 的 精确 性 和 质量 。 但 是 另 一 方面 ， 人 工 代码 审查 也 是 最 
为 耗费 资源 的 。 

人 工 代 码 审查 由 人 工 驱 动 ， 尽 管 人 工 发 挥 最 大 价值 的 地 方 是 对 软件 架构 设计 的 检查 ， 即 
对 人 、 策 略 、 过 程 等 进行 软件 整体 安全 性 检查 。 假 如 资源 有 限 ， 人 工 代 码 审 查 最 好 只 在 应 用 
程序 最 为 关键 的 部 分 执行 。 这 些 审查 也 包括 对 文档 、 安 全 编码 策略 、 安 全 需求 和 安全 结构 设 
计 的 审查 。 这 些 工 作 也 用 来 指导 人 工 审 查 ， 其 中 软件 安全 架构 师 能 够 为 开发 组 的 其 他 人 提供 
测试 艺术 指导 ， 帮 助 他 们 理解 安全 过 程 、 安 全 编码 策略 意识 ， 以 及 设计 和 实现 安全 应 用 程序 
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的 技能 。 就 算 在 熟练 的 和 对 安全 理解 很 好 的 开发 团队 ， 软 件 安全 架构 师 仍 应 该 采用 信任 - 验 
证 模型 。 这 个 过 程 被 架构 师 与 利益 相关 者 、 合 适 的 开发 团队 成 员 一 起 对 文档 的 分 析 以 及 架构 
师 询 问 设 计 者 与 系统 拥有 者 的 输入 所 增强 。 

应 该 注意 的 是 ， 如 果 使 用 了 好 的 软件 工程 过 程 ， 代 码 审 查 团队 能 够 减少 很 多 需要 关注 的 
方面 。 在 大 多 数 情况 下 ， 静 态 分 析 、 动 态 分 析 、 模 糊 测试 在 发 现实 现 层面 bug 的 效率 比 代码 
审查 更 高 ， 但 是 如 果 连 人 工 审查 都 只 能 找到 较 少 的 安全 漏洞 ， 这 只 能 说 明 这 些 漏洞 只 能 通过 
人 工 审查 才能 发 现 。 一 旦 一 个 类 型 的 安全 漏洞 通过 人 工 审查 代码 的 方法 找到 ， 这 些 安全 漏洞 
应 该 合并 到 自动 化 代码 审查 工具 中 。 就 像 之 前 提 到 的 ， 有 效 和 高 效 地 提高 软件 安全 需要 整体 
的 方法 ,不仅 包括 人 工 代码 审查 ， 还 包括 强制 软件 安全 培训 、 安 全 设计 检查 、 威 胁 模型 、 模 
糊 测 试 、 静 态 和 动态 分 析 、 高 风险 实践 的 确认 、 软 件 生命 周期 各 种 阶段 可 度量 的 标准 和 需求 ， 
包括 服务 和 支持 。 

以 下 步骤 是 人 工 软件 安全 审查 的 典型 步骤 。 

。 威 胁 模型 用 来 确定 风险 ， 并 告诉 开发 团队 应 该 优先 查看 的 代码 ， 通 过 审查 可 以 帮助 开 

”发 团队 理解 关于 软件 功能 存在 的 安全 威胁 。 

。 以 上 描述 的 各 种 自动 化 工具 用 来 评估 代码 的 语义 和 语言 安全 漏洞 ， 优 化 查找 最 高 风险 
的 过 程 ， 投 入 最 大 的 工作 量 修复 或 减轻 安全 漏洞 。 

。 人 工 执行 逐 行 的 软件 代码 审查 用 来 寻找 逻辑 错误 、 不 安全 的 加 密 、 不 安全 的 系统 配置 
和 其 他 平台 特有 的 问题 。 

使 用 问题 驱动 方法 能 够 让 检查 保持 活跃 状态 。 标 准 问题 列表 能 够 帮助 你 集中 精力 在 并 非 

你 的 软件 架构 独 有 的 普通 安全 漏洞 上 。 这 个 方法 用 来 与 控制 流 和 数据 流 分 析 等 技术 相 结 合 以 
优化 跟踪 代码 路 径 的 能 力 ， 这 是 最 有 可 能 发 现 安全 问题 的 方法 。 应 该 至 少 在 最 常见 的 编码 漏 
洞 层面 解决 问题 。 当 你 使 用 控制 流 和 数据 流 分 析 时 应 该 问 自 己 以 下 这 些 问 题 。 注 意 ， 发 现 一 
些 安全 漏洞 可 能 需要 控制 流 和 数据 流 上 下 文 的 知识 ， 而 另 一 些 可 能 不 需要 上 下 文 知 识 并 且 使 
用 简单 的 模式 匹配 就 可 以 找到 。 当 执行 代码 安全 审查 的 时 候 ， 下 面 的 一 些 技术 可 能 会 结合 在 
一 起 : 

。 控 制 流 分 析 : 控制 流 分 析 是 单 步调 试 代码 逻辑 条 件 的 机 制 。 过 程 如 下 。 

1. 检查 函数 并 确定 每 个 分 支 条 件 。 这 可 能 包含 循环 、switch 语句 、“ 证 ”语句 和 “try/ 
catch ”模块 。 

2. 理解 每 个 模块 执行 的 条 件 。 

3. 查看 下 一 个 函数 并 重复 。 

。 数 据 流 分 析 : 数据 流 分 析 是 从 输入 点 到 输出 点 跟踪 数据 的 机 制 。 因 为 应 用 程序 中 可 能 
会 有 很 多 数据 流 ， 所 以 使 用 步骤 2 中 的 代码 审查 对 象 和 标志 区 域 使 你 集中 精力 工作 。 
过 程 如 下 。 

1. 对 于 每 个 输入 点 ， 确 定 你 对 输入 源 的 信任 程度 。 当 输入 源 不 可 信 时 ， 将 其 归 为 不 可 信 

一 类 。 

2. 跟踪 每 个 可 能 的 输出 点 的 数据 流 。 注 意 任 何 对 数据 认证 的 尝试 。 

3. 查看 下 一 个 输入 并 继续 。 中 

当 执行 数据 流 分 析 时 ， 审 查 输入 列表 和 输出 列表 ， 接 下 来 匹配 你 需要 审查 的 代码 。 你 必须 
特别 注意 通过 可 信 边 界 的 代码 区 域 以 及 改变 代码 信任 等 级 的 代码 区 域 的 优先 级 ， 就 像 你 在 威胁 
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模型 过 程 中 做 的 一 样 。 软 件 可 以 调用 的 一 组 常见 例 程 一 接触 任何 不 可 信 的 数据 就 应 该 可 用 ， 它 
能 够 给 你 的 软件 产品 一 个 核心 认证 区 域 ， 用 来 更 新 新 发 现 的 信息 。 当 执行 数据 流 分 析 时 ， 尤 其 
注意 有 很 多 输出 点 的 数据 解析 区 域 ， 以 保证 数据 跟踪 回 它 的 源 ， 基 于 最 弱 链接 分 配 信任 。 

还 有 其 他 需要 考虑 的 问题 列表 。 一 部 分 整理 在 一 组 由 软件 产品 或 开发 解决 方案 最 常见 的 
软件 安全 漏洞 导致 的 实现 错误 关键 区 域 ， 也 称 为 热点 。 这 些 典 型 问题 被 软件 安全 架构 师 整理 
在 之 前 提 到 的 top10 ~ 20 CVE 或 OWASP 的 “TOP 10” 列 表 中 。 

对 安全 架构 独特 安全 问题 的 审查 也 作为 人 工 安全 审查 过 程 的 一 部 分 执行 。 这 个 步骤 尤其 
重要 ， 特 别 是 在 软件 产品 使 用 定制 的 安全 机 制 或 特征 来 降低 已 知 安 全 威胁 。 在 这 个 步骤 中 ， 
代码 审查 对 象 列 表 也 用 来 检查 那些 还 没 审查 的 内 容 。 这 部 分 工作 也 使 用 问题 驱动 的 方法 ， 作 
为 最 终 的 代码 审查 步骤 来 确定 软件 架构 中 独特 的 安全 特征 和 需求 ， 见 下 面 的 列表 。 

。 你 的 软件 架构 中 包含 定制 的 安全 实现 方式 吗 ? 定制 的 安全 实现 方式 是 发 现 安全 问题 的 

好 地 方 ， 有 如 下 原因 。 
图 它 已 经 识别 出 安全 问题 ， 这 是 把 定制 安全 代码 写 在 第 一 个 位 置 的 原因 。 
图 与 其 他 产品 区 域 不 同 ， 功 能 性 问题 很 可 能 导致 安全 漏洞 。 

。 已 知 的 安全 威胁 都 降低 了 吗 ? 降低 已 知 威胁 的 代码 需要 仔细 审查 ， 因 为 一 旦 它们 出 现 

问题 就 会 导致 避 规 安全 机 制 。 

。 应 用 程序 中 是 否 包含 独特 的 角色 ? 使 用 角色 假设 有 一 些 用 户 的 权限 低 于 另 一 些 用 户 的 

权限 。 确 保 允 许 一 个 角色 改变 另 一 个 角色 权限 的 代码 没有 问题 。 己 ! 

我 们 重申 这 并 不 是 不 同类 型 安全 测试 的 建议 。 为 了 使 产品 安全 ， 需 要 使 用 所 有 类 型 的 安 
全 测试 一 一 静态 分 析 、 动 态 分 析 、 人 工 代码 审查 、 渗 透 测 试 和 模糊 测试 。 经 常会 出 现 权衡 开 
发 周期 和 时 间 限 制 或 最 终 期 限 后 ， 而 跳 过 测试 阶段 急于 将 产品 投放 市 场 的 情况 。 这 种 做 法 节 
省 了 时 间 ， 使 产品 几 个 星期 /月 就 可 以 发 布 。 但 是 ， 从 ROI 的 观点 来 看 ， 这 是 要 付出 高 昂 代 
价 的 。 产 品 发 布 之 后 发 现 安全 问题 会 对 客户 造成 很 大 损害 ， 从 而 影响 公司 的 声誉 。 


6.5 成功 的 关键 因素 


SDL 第 4 阶段 的 成 功 依赖 于 遵从 策略 ， 执 行 安全 测试 用 例 ， 完 成 不 同类 型 的 安全 测试 ， 
以 及 验证 隐私 需求 。 表 6-1 列 出 了 这 个 阶段 成 功 的 关键 成 功 因 素 。 


表 6-1 关键 成 功 因 素 


关键 成 功 因 素 fi $ 
1. 安全 测试 用 例 执行 覆盖 所 有 相关 的 测试 用 例 
2. 安全 测试 完成 所 有 类 型 的 安全 测试 ， 修 复 找到 的 问题 
3. 隐私 验证 和 修复 隐私 相关 控制 的 有 效 性 ， 修 复 找到 的 问题 
4. 策略 合 规 性 检查 按照 阶段 4 更 新 策略 


成 功 因素 1: 安全 测试 用 例 执 行 

6.2 节 提 到 了 安全 测试 执行 计划 成 功 的 标准 。 

成 功 因 素 2: 安全 测试 
”完成 所 有 类 型 的 安全 测试 一 人工 代码 审查 、 静 态 分 析 、 动 态 分 析 、 渗 透 测试 和 模糊 测 
试 一 一 是 很 关键 的 。 应 该 对 每 个 测试 类 型 中 发 现 的 问题 进行 风险 评估 并 排出 优先 级 。 任 何 中 
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风险 或 高 风险 的 安全 缺陷 应 该 在 产品 发 布 或 部 署 前 修复 。 同 时 也 不 应 忽视 低 风险 缺陷 ， 而 应 
该 尽快 创建 修复 计划 。 

成 功 因素 3: 隐私 验证 和 修复 

验证 隐私 问题 应 该 成 为 安全 测试 计划 和 安全 测试 的 一 部 分 。 但 是 ,使 用 独立 的 工作 流 评估 
产品 隐私 控制 的 有 效 性 也 是 很 好 的 办 法 。 应 该 在 产品 发 布 和 部 署 前 优先 修复 任何 已 确认 的 问题 。 

成 功 因 素 4: 策略 合 规 性 检查 (更 新 ) 

如 果 确 认 了 任何 额外 的 策略 ， 或 之 前 确认 的 策略 已 经 根据 阶段 3 进行 了 更 新 ， 应 该 对 更 
新 内 容 进行 检查 并 根据 计划 更 新 产品 。 


6.6 ”可 交付 成 果 
表 6-2 列 出 了 SDL 这 个 阶段 的 可 交付 成 果 。 
表 6-2 A4 阶段 可 交付 成 果 








可 交付 成 果 HE Om 
安全 测试 执行 报告 检查 安全 测试 用 例 执 行 的 进程 
更 新 策略 的 合 规 性 分 析 分 析 公 司 策略 的 遵守 程度 
隐私 遵守 报告 验证 执行 的 隐私 评估 是 否 符合 建议 
安全 测试 报告 不 同类 型 的 安全 测试 发 现 的 结果 
修复 报告 产品 的 安全 状态 
安全 测试 执行 报告 


执行 报告 应 该 符合 安全 测试 执行 和 测试 频率 的 状况 。 报 告 应 该 符合 验证 问题 修复 的 回归 
测试 数量 。 

更 新 策略 的 合 规 性 分 析 

策略 遵守 产品 分 析 ( 见 第 4 ~ 5 章 ) 应 该 基于 在 SDL 的 这 个 阶段 任何 新 出 现 的 需求 或 策 
略 进行 更 新 。 

隐私 遵守 报告 

隐私 遵守 报告 应 该 支持 早期 阶段 的 隐私 需求 。 任 何 未 解决 的 需求 应 当 尽 快 解决 。 也 应 该 
谨慎 地 对 任何 规范 /条 例 的 改变 确定 新 的 需求 。 

安全 测试 报告 

每 类 安全 测试 应 该 写 入 一 个 问题 摘要 中 : 人 工 代码 审查 、 静 态 分 析 、 动 态 分 析 、 渗 透 测 
试 、 模 糊 测试 。 报 告 应 提供 问题 的 类 型 和 数量 以 及 任何 能 从 结果 中 济源 的 内 容 。 例 如 ， 如 果 
在 某 个 应 用 程序 的 组 件 中 找到 相对 其 他 组 件 少 很 多 的 XSS 问题 ， 可 能 是 因为 之 前 的 开发 者 受 
过 良好 的 训练 或 者 使 用 的 框架 更 加 有 效 。 应 该 在 下 个 版 本 周期 的 前 一 个 SDL 阶段 反馈 回来 。 

修复 报告 

应 该 为 这 个 阶段 的 定期 更 新 准备 好 修复 报告 /仪表 盘 。 这 个 报告 的 目的 是 从 技术 层面 展 
示 安 全 的 特征 和 产品 的 风险 。 


6.7 ”度量 标准 
应 该 在 SDL 的 这 个 阶段 收集 以 下 度量 标准 〈 之 前 讨论 过 的 一 些 应 该 交叉 度量 )。 
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。 遵 守 公司 策略 的 比例 (更 新 ) 
图 遵守 阶段 3 和 阶段 4 的 比例 对 比 
。 通 过 静态 测试 工具 实际 测试 的 代码 行 数 
。 通 过 静态 分 析 工 具 找 到 的 安全 缺陷 数量 
。 通 过 静态 分 析 工 具 找 到 的 高 风险 安全 缺陷 的 数量 
。 缺 陷 密度 (每 一 千 行 代码 的 安全 问题 数量 ) 


。 通 过 静态 分 析 、 动 态 分 析 、 人 工 代 码 审查 、 渗 透 测试 、 模 糊 测 试 找到 的 安全 问题 的 类 


型 和 数量 

图 使 用 不 同类 型 的 交叉 测试 找 出 的 安全 问题 

图 对 比 不 同 测试 类 型 找到 的 安全 问题 的 严重 程度 
图 把 找到 的 安全 问题 与 之 前 确定 的 威胁 / 风险 进行 映射 
。 对 发 现 的 安全 问题 进行 修复 的 数量 

图 发 现 问题 的 严重 程度 

图 花费 在 修复 发 现 问题 上 的 小 时 数 (KY) 

。 发 现 问题 中 未 解决 问题 的 数量 、 类 型 和 严重 程度 
。 遵 守 测试 安全 计划 的 比例 

。 安 全 测试 用 例 执 行 的 数量 

图 执行 安全 测试 用 例 发 现 的 问题 数量 

图 执行 回归 测试 的 数量 


6.8 ABN 


在 对 设计 和 开发 阶段 (A4 ) 的 讨论 中 ,我 们 讲解 了 成 功 测试 用 例 的 执行 流程 ， 使 用 自动 


化 工具 和 人 工 审 查 两 种 方法 审查 代码 的 合适 流程 ， 以 及 在 SDL 的 这 个 阶段 中 隐私 验证 和 修复 
的 实现 流程 。 本 章 最 重要 的 流程 提供 了 有 效 和 高 效 地 测试 、 调 整 和 修复 所 有 已 知 和 发 现 的 漏 
洞 ， 以 及 确保 遵守 安全 代码 策略 、 在 产品 化 ( A5 ) 阶段 之 前 提供 需要 的 安全 和 隐私 漏洞 保护 
的 能 力 。 
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现在 你 进入 了 软件 开发 生命 周期 的 最 后 阶段 ， 你 需要 确保 软件 是 安全 的 ， 隐 私 问 题 已 经 
被 解决 到 软件 发 布 时 可 以 接受 的 程度 。 软 件 安全 和 隐私 需求 来 自 初 始 阶段 并 且 通 过 这 个 周期 
进行 了 提炼 。 本 章 将 带领 你 进行 最 后 阶段 的 策略 一 致 检查 ， 最 后 的 漏洞 扫描 ， 版 本 发 布 前 的 
渗透 测试 ， 开 源 许 可 检查 ， 以 及 最 后 的 安全 和 隐私 检查 ( 见 图 7-1 )。 

就 像 在 SDL AY (Al) ~ (A4) 阶段 讨论 的 那样 ， 对 SDL 策略 的 遵守 覆盖 所 有 的 项 目 ， 
这 些 项 目 包 含有 意义 的 安全 和 隐私 风险 ， 并且 在 每 个 阶段 分 析 与 更 新 以 覆盖 新 的 威胁 和 活动 。 
在 最 后 的 策略 遵守 检查 中 ， 检 查 SDL 策略 以 确保 策略 支持 基于 不 同 开 发 标准 的 具体 需求 ， 如 
产品 类 型 、 代 码 类 型 、 平 台 。 

安全 漏洞 扫描 会 在 你 的 软件 和 相关 系统 中 寻找 任何 遗留 的 安全 漏洞 并 报告 潜在 的 暴露 方 
式 。 这 个 过 程 通常 是 自动 进行 的 ， 由 机 构 内 的 特定 人 员 来 进行 测试 。 作 为 对 比 ， 渗 透 测 试 实 
际 上 利用 系统 结构 的 弱点 ， 需 要 关于 测试 软件 和 相关 系统 领域 不 同 层面 的 专业 知识 。 一 个 经 
验 丰富 的 安全 人 员 或 团队 提供 了 第 三 方 独立 的 观点 、 高 水 平 的 外 部 专业 人 员 以 及 “ 另 一 双眼 
睛 ”来 执行 渗透 测试 。 

在 最 后 的 SDL 阶段 ， 对 软件 的 安全 检查 进行 评估 ， 所 有 的 安全 活动 在 这 个 过 程 中 执行 ， 
包括 威胁 模型 、 工 具 输出 、 早 期 确定 的 性 能 需求 在 这 个 过 程 中 会 被 评估 ， 以 确定 软件 产品 是 
否 能 够 发 布 。 我 们 将 讨论 这 个 过 程 中 的 三 点 。 

遵守 应 用 程序 开源 需求 以 避免 代价 高 昂 、 花 费 大 量 时 间 的 诉讼 是 很 重要 的 。 如 果 开 源 软件 用 
作 产品 或 解决 方案 的 一 部 分 ， 两 个 需要 SDL 管理 人 员 关 注 的 重要 方面 是 : 遵守 许可 和 安全 许可 。 

必须 在 软件 发 布 前 满足 隐私 需求 。 隐 私 需求 验证 一 般 是 与 最 终 安全 审查 以 及 许多 在 同一 
阶段 考虑 的 测试 用 例 同步 进行 的 。 


7.1 AS 策略 一 致 性 分 析 


就 像 SDL 的 阶段 (Al1 ) ~ (A4) 讨论 的 那样 ，SDL 策略 一 致 性 覆盖 了 所 有 有 价值 的 安全 
和 隐私 风险 ， 并 且 在 每 个 阶段 都 进行 分 析 与 更 新 以 覆盖 新 的 威胁 和 活动 。 特 别 是 ， 策 略 中 的 
活动 和 标准 已 经 在 每 个 SDL 阶段 更 新 ， 从 安全 事件 根本 原因 的 分 析 中 学 习 合并 的 课程 ， 适 应 
改变 的 威胁 环境 ,促进 工具 与 技术 升级 。 在 随后 的 阶段 ， 跟 踪 SDL 策略 的 遵守 情况 ， 如 果 需 
要 也 会 跟踪 有 高 风险 问题 的 项 目 。 从 SDL 的 开始 阶段 ， 正 式 定 义 需 要 遵守 的 SDL 项 目 质 量 
授权 和 需求 。 这 个 策略 变 成 了 管理 SDL 过 程 的 重要 部 分 ， 包括 : 

。 归 入 标准 化 SDL 授权 和 活动 的 项 目 类 型 

。 定 义 每 个 SDL/SDLC 项 目 阶段 必须 遵守 的 策略 和 过 程 

。 设置 版 本 发 布 必须 满足 的 需求 

在 最 后 的 策略 一 致 性 分 析 中 ， 需 要 对 策略 进行 检查 从 而 保证 可 以 支持 基于 不 同 开发 标准 ， 
如 产品 类 型 、 代 码 类 型 和 平台 的 特殊 需求 。 
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7.2 ”漏洞 扫描 

尽管 现在 没有 人 工 审查 源 代 码 的 替代 方法 ， 但 是 自动 化 工具 依旧 有 着 节省 时 间 和 资源 的 
优势 。 安 全 漏洞 扫描 特别 适合 用 于 执行 这 个 过 程 的 回归 测试 ， 作 为 双重 检查 任何 可 能 的 安全 
漏洞 ， 检 查 因为 不 注意 将 之 前 已 经 确定 并 修复 的 安全 漏洞 又 重新 引入 代码 。 也 有 这 样 的 可 能 ， 
即 其 他 简单 功能 的 产品 在 SDL 的 开始 阶段 有 了 已 经 披露 的 安全 漏洞 ， 这 些 也 能 够 在 最 后 的 安 
全 审查 中 发 现 。 软 件 产 品 一 般 包 含 50000 行 甚至 更 多 的 代码 ， 安 全 漏洞 扫描 可 以 作为 性 价 比 
高 的 、 节 省 时 间 的 方法 做 最 后 的 SDL 检查 。 这 些 扫描 器 能 够 执行 大 规模 的 复杂 数据 流 分 析 从 
而 确定 人 工 审查 过 程 中 遗漏 的 安全 漏洞 点 。 这 些 产品 通过 编译 代码 库 来 分 析 每 条 可 能 路 径 以 
找到 根源 级 别 漏洞 ， 比 起 人 工 审查 更 快 更 高 效 。 它 们 也 是 很 好 的 “检查 检查 者 ”工具 ， 即 对 
软件 安全 架构 师 已 经 进行 过 人 工 审查 的 程序 进行 审查 。 

安全 漏洞 扫描 工具 利用 应 用 程序 和 数据 库 签名 尝试 确认 应 用 程序 缺陷 的 存在 。 安 全 漏洞 
扫描 与 渗透 测试 不 同 ， 不 应 归 类 其 中 ; 但 是 ， 一 些 相同 的 工具 可 能 在 两 个 过 程 中 都 会 使 用 。 
安全 漏洞 扫描 实际 上 是 一 个 评估 ， 会 在 软件 和 相关 系统 中 查找 已 知 的 安全 漏洞 。 安 全 漏洞 扫 
描 是 自动 运行 的 ， 技 术 人 员 执行 后 ， 会 报告 潜在 的 问题 。 开 发 人 员 执 行 安全 漏洞 扫描 可 以 帮 
助 他 们 认识 和 理解 软件 安全 的 基本 要 求 。 作 为 对 比 ， 渗 透 测 试 实际 上 会 暴露 系统 架构 中 的 弱 
点 ， 需 要 软件 和 测试 系统 领域 各 种 级 别 的 专业 知识 。 这 类 测试 一 般 会 让 经 验 丰富 的 软件 全 专 
家 (例如 软件 安全 架构 师 或 经 验 丰富 的 安全 工程 师 ) 来 执行 。 

安全 漏洞 扫描 是 软件 安全 和 SDL 的 必要 组 成 部 分 。 由 于 它 自 动 化 和 易于 执行 的 特点 ， 安 
全 漏洞 扫描 可 以 作为 性 价 比 高 、 有 效 性 高 、 最 小 化 不 可 信和 因素 的 方法 在 SDL 过 程 中 进行 多 次 
持续 的 测试 。 对 于 可 能 引入 新 的 安全 漏洞 的 过 程 ， 如 代码 或 软件 架构 发 生 改变 后 ， 应 该 持续 
对 系统 进行 检测 。 

尽管 所 有 的 精力 都 用 来 修复 发 现 的 安全 漏洞 ， 还 是 有 一 些 扫描 器 在 发 现 安全 漏洞 时 出 现 
误 报 或 异常 。 误 报 是 指 ， 扫 描 器 检测 出 系统 有 安全 漏洞 ， 但 实际 上 没有 。 当 然 ， 如 果 经 过 验 
证 ， 误 报 是 应 该 忽略 掉 的 。 异 常 的 出 现 是 由 于 修复 会 降低 最 佳 的 软件 性 能 ， 限 制 有 风险 的 功 
能 ， 或 需要 对 软件 架构 进行 重新 设计 。 风 险 被 认为 是 可 以 接受 的 ， 因 为 补救 手段 能 够 以 最 小 
的 开销 降低 风险 。 异 常 可 能 是 持续 存在 的 ， 或 者 它们 可 能 有 附加 的 有 效 期 限 。 上 典型 安全 漏洞 
扫描 过 程 请 见 图 7-2。 





图 7-2 典型 的 漏洞 扫描 过 程 
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就 像 本 书 前 面 讨论 的 那样 ， 静 态 或 动态 源 代码 安全 漏洞 扫描 工具 能 够 在 本 阶段 酌情 使 用 。 
如 果 软 件 是 个 Web 应 用 程序 ， 你 必须 使 用 专门 的 Web 应 用 安全 漏洞 扫描 工具 进行 检测 。 应 
避免 使 用 针对 所 有 软件 应 用 的 工具 ， 而 应 使 用 只 针对 OWASP“ Top 10” 安 全 漏洞 的 Web 应 
用 安全 漏洞 扫描 工具 。 就 像 静 态 或 其 他 动态 安全 漏洞 扫描 工具 ， 如 果 扫 描 工具 确认 了 严重 的 、 
高 风险 的 应 用 程序 安全 漏洞 ， 这 些 安全 漏洞 必须 在 应 用 程序 发 布 到 生产 环境 前 修复 。 一 些 通 
用 的 Web 应 用 安全 漏洞 扫描 工具 包括 : 

e IBM 公司 的 AppScan (http://www-01.ibm.com/software/awdtools/appscan ) 

e GFI 公司 的 CFI Languard (http://www.gfi.com/network-security-vulnerability-scanner ) 

。Cenzic 公司 的 Hailstorm ( http://www.cenzic.com/index.html ) 

e McAfee 公司 的 McAfee Vulnerability Manager (MVM) ( http://www.mcafee.com/us/products/ 

vulnerability-manager.aspx ) 

eè Tenable Network Security 公司 的 Nessus (www.nessus.org ) 

e eEye Digital Security 公司 的 Retina Web Security Scanner ( http://www.eeye.com/Products/ 

Retina/Web-Security-Scanner.aspx ) 

。 HP 公司 的 WebInspect ( http://www.hpenterprisesecurity.com/products/hp-fortify- software- 

security -center/hp-webinspect ) 

应 使 用 尽量 多 的 安全 漏洞 扫描 器 对 栈 进行 扫描 。 单 独 使 用 Web 应 用 安全 扫描 工具 是 不 够 
的 ， 因 为 软件 栈 (操作 系统 、Web 服务 器 、 应 用 服务 器 ) 也 同样 会 有 需要 修补 的 安全 漏洞 。 安 
全 漏洞 扫描 应 该 包括 外 部 扫描 、 内 部 扫描 和 对 整个 栈 (特别 是 云 环境 ) 验证 的 扫描 。 外 部 扫描 
主要 在 防火 墙 外 发 现 目标 系统 的 安全 问题 。 由 于 防火 墙 通常 会 限制 端口 ， 因 此 这 种 扫描 [有 时 

只 能 得 到 有 限 的 信息 ; 但 是 ， 它 也 是 非常 有 价值 的 ， 因 为 从 外 部 扫描 中 找到 的 漏洞 是 可 以 被 
攻击 者 利用 的 。 内 部 扫描 是 从 防火 墙 内 部 执行 的 ， 因此 找到 的 信息 是 不 受 端口 限制 且 从 防火 
墙 外 部 无 法 发 现 的 问题 。 内 部 扫描 可 以 确定 内 部 攻击 者 和 恶意 软件 能 够 利用 的 安全 问题 (并 
且 不 是 防火 墙 对 外 限制 的 问题 )。 验 证 扫描 是 最 为 全 面 的 检测 ， 不 仅仅 检测 外 部 和 内 部 的 安全 
问题 ， 还 确定 漏 打 的 安全 补丁 和 误 报 。 验 证 扫描 需要 软件 登录 到 系统 上 进行 扫描 ， 因 此 这 也 
是 最 具 侵 入 性 的 。 

在 早期 阶段 ， 安 全 架构 应 该 按照 软件 栈 的 配置 需求 加 固 栈 、 降 低 攻击 面 。 配 置 标准 应 该 
以 多 种 形式 保留 ， 包 括 操作 系统 和 其 他 需要 部 署 的 软件 的 加 固 标准 。 例 如 ， 一 些 已 经 下 架 的 
操作 系统 可 能 会 有 很 多 不 需要 的 服务 和 配置 从 而 增加 了 攻击 面 。 加 固 标准 能 够 有 效 降低 默认 
配置 带 来 的 风险 。 

除了 安全 漏洞 扫描 之 外 ， 安 全 配置 应 该 已 经 确认 以 保证 栈 自身 是 安全 的 。 理 想 的 解决 方 
案 是 创建 一 个 栈 的 “加 固 镜 像 ” 并 打上 安全 审核 的 标记 。 产 品 在 操作 环境 下 最 终 部 署 后 ， 对 
这 个 镜像 的 任何 改变 都 应 该 引起 注意 。 


7.3 渗透 测试 


渗透 测试 是 模拟 黑客 行为 对 软件 系统 进行 的 白 盒 安全 分 析 ， 以 发 现 由 代码 错误 导致 的 
潜在 安全 漏洞 、 系 统 配 置 错误 或 其 他 操作 环境 下 的 部 署 缺陷 。 渗 透 测 试 也 会 用 来 验证 代码 
是 否 按照 预期 设计 实现 ， 验 证 是 否 实现 了 安全 功能 ， 并 发 现 可 利用 的 安全 漏洞 。 白 盒 测试 
需要 了 解 系统 是 怎样 实现 的 ， 从 而 确保 软件 产品 的 健壮 性 ， 以 对 抗 预期 和 非 预期 的 软件 行 
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为 ,包括 恶意 攻击 和 常见 的 软件 错误 。 白 盒 测试 人 员 必 须 有 专业 技能 和 丰富 的 经 验 ，T 了 解 
是 什么 导致 软件 安全 和 不 安全 的 ， 如 何 像 攻击 者 一 样 思考 ， 如 何 使 用 不 同 测试 工具 和 技术 
模仿 攻击 者 的 行为 。 渗 透 测试 是 通常 使 用 自动 化 和 人 工 代 码 审 查 方法 结合 起 来 执行 的 测 
试 ， 需 要 分 析 数 据 流 、 控 制 流 、 信 息 流 、 代 码 执行 情况 、 软 件 和 相关 系统 的 异常 以 及 错误 
处 理 。 

为 了 成 功 对 正在 开发 的 代码 和 交互 系统 执行 白 盒 安 全 测试 ， 整 体 上 必须 满足 三 个 基本 需 
求 ， 而 不 是 独立 地 满足 每 个 需求 。 评 估 者 / 测试 人 员 必 须 做 到 以 下 几 点 。 

1. 已 经 能 够 理解 和 分 析 可 用 的 设计 文档 、 源 代码 ， 以 及 相关 开发 工件 ， 并 有 软件 安全 的 
背景 和 知识 。 

2. 能 够 像 攻 击 者 一 样 思考 ， 有 能 力 设计 测试 用 例 验证 软件 漏洞 。 

3. 拥有 借助 不 同 工 具 和 技术 进行 白 盒 测试 的 知识 与 经 验 ， 能 够 跳出 局 限 或 非常 规 地 思考 ， 
就 像 使 用 相同 工具 和 技术 的 对 手 。 

独立 是 渗透 测试 的 关键 因素 和 需求 ， 这 就 是 为 什么 一 直 考 虑 要 雇用 第 三 方 外 部 安全 公司 
执行 安全 审查 和 渗透 测试 。 这 么 做 有 旁观 者 清 好 处 ,渗透 测 试 应 该 在 考虑 高 商业 风险 后 对 
所 有 项 目 授权 。 外 部 的 观点 能 够 帮助 确认 安全 漏洞 的 类 型 ， 在 使 用 其 他 方法 时 无 法 使 现 有 
安全 状态 完全 呈现 出 来 。 第 三 方 能 够 使 用 威胁 模型 和 在 SDL 过 程 中 创建 的 架构 图 ， 从 而 确 
认 优 先 顺 序 、 测 试 内 容 以 模仿 黑客 攻击 。 安 全 级 别 要 在 预算 中 确定 ， 因 为 这 类 公司 一 般 会 
索要 服务 的 保险 费 。 在 渗透 测试 中 确认 的 任何 安全 问题 或 安全 漏洞 必须 被 定位 并 在 项 目 批 
准 发 布 前 修复 。 

为 了 获取 渗透 测试 的 最 小 需求 ， 应 该 遵循 图 7-3 中 四 阶段 的 流程 。 

e 确定 哪些 软件 模块 适用 于 渗透 测试 


C o 确定 用 来 渗透 测试 的 预算 
由 . 确认 执行 渗透 测试 的 厂商 所 具备 的 技术 和 条 件 


CO). 被 选 为 渗透 测试 的 目标 
| . 渗透 测试 需求 


备 选 厂商 发 布 渗透 测试 而 求 
确认 备 选 厂商 返回 的 结果 ， 确 认 最 终 测 试 的 厂商 
部 署 测试 环境 


V |. 执行 渗透 测试 
) Pa 。 修 复 


图 7-3 ”渗透 测试 的 4 阶段 过 程 





渗透 测试 报告 是 渗透 测试 最 终 提交 的 成 果 。 报 告 的 主体 应 该 关注 哪些 数据 是 危害 的 以 及 
为 什么 ， 提 供给 客户 现 有 的 攻击 方法 、 漏 洞 利用 方法 以 及 利用 数据 。 如 果 SDL 和 开发 组 需 
要 ， 报 告 中 也 应 该 包含 可 能 的 解决 方法 。 已 经 尝试 利用 过 的 和 误 报 的 安全 漏洞 细节 列表 ， 或 
可 以 利用 但 是 结果 中 没有 数据 的 安全 漏洞 应 该 在 附录 而 不 是 报告 正文 中 列 出 ， 从 而 保持 报告 
的 主要 部 分 简洁 。 

安全 漏洞 扫描 生成 的 可 能 存在 的 安全 漏洞 列表 应 该 在 漏洞 检测 报告 中 ， 而 不 在 最 终 的 渗 
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透 测 试 报告 中 。 就 像 在 之 前 章节 提 到 的 ， 每 个 测试 活动 的 目的 和 结果 都 是 不 同 的 。 

考虑 到 一 些 非常 著名 的 公司 被 攻击 过 ， 以 及 知名 的 产品 由 于 安全 漏洞 成 为 新 闻 的 主角 ， 
执行 安全 性 测试 太 迟 是 导致 所 有 错误 的 原因 。 这 些 导致 了 客户 (传统 软件 或 SaaS/ 云 服 务 ) 要 
求 企业 级 演示 以 证 明 其 所 购买 产品 /服务 的 安全 性 。 在 发 布 周期 的 这 个 时 刻 上 ， 最 好 让 销售 
和 市 场 团队 一 起 建立 一 个 与 客户 讨论 安全 性 的 框架 。 讨 论 组 应 该 考虑 建立 一 个 在 销售 周期 给 
客户 (或 潜在 客户 ) 提供 的 安全 白皮书 。 他 们 也 应 该 考虑 为 安全 白皮书 创建 一 个 年 度 审查 周期 
以 对 新 问题 进行 确认 和 修复 。 客 户 通 常会 需要 演示 安全 性 是 否 遵守 他 们 公司 的 要 求 ， 因 此 会 
达到 公司 提供 的 产品 和 服务 的 安全 特征 。 据 我 们 的 经 验 ， 这 种 要 求 通常 需要 以 渗透 测试 结果 
或 安全 细节 检测 报告 (季度 或 年 度 ) 的 形式 提交 。 需 要 注意 的 是 ， 云 或 者 Sas 环境 不 太 适 合 
允许 用 户 灵活 地 进行 渗透 测试 或 共享 安全 检测 结果 。 尽 管 不 够 灵活 ， 但 是 能 够 使 所 有 客户 达 
成 服务 级 协议 对 问题 进行 修复 。 简 而 言 之 ， 如 果 你 不 希望 客户 干扰 你 自己 处 理 安全 问题 的 优 
先 级 ， 与 客户 形成 一 个 安全 讨论 的 框架 式 是 很 重要 的 。 


74 开源 许可 审查 


尽管 开源 软件 是 免费 的 、 创 新 的 、 高 效 的 ， 并 且 使 得 软件 产品 富有 竞争 力 ， 但 是 它 也 必 
须 按照 资产 进行 管理 ， 遵 守 许可 证 ， 必 须 像 内 部 开发 软件 标准 一 样 满足 安全 需求 。 有 了 时 这 些 
独特 和 复杂 的 许可 可 以 延期 ， 并 防止 发 布 过 程 中 不 适当 管理 导致 的 潜在 商业 风险 。 遵 守 开源 
要 求 是 很 重要 的 ， 能 避免 花费 很 多 金钱 和 时 间 的 起 诉 。 当 产品 的 一 部 分 使 用 了 开源 软件 时 ， 
在 SDL 中 管理 许可 的 遵守 和 安全 性 上 ， 有 两 个 主要 的 部 分 需要 关注 。 

1. 开源 软件 协议 的 遵守 。 不 遵守 开源 软件 许可 要 求 会 导致 价格 高 昂 和 耗 时 的 起 诉 ， 
开庭 时 间 ， 侵 犯 版 权 ， 媒 体 披露 ， 不 良 的 公众 形象 ,不 遵守 许可 会 带 来 风险 和 消极 的 商 
业 关 系 。 不 当 的 管理 和 不 遵守 开源 许可 也 会 导致 无 法 对 软件 产品 提供 支持 ， 版 本 发 布 延 
期 或 停滞 。 

2. 开源 软件 安全 性 。SDL 、 开 发 团队 以 及 投资 者 需要 意识 到 并 理解 与 开源 软件 代码 相关 
的 安全 漏洞 会 在 他 们 的 产品 中 出 现 。 就 像 自己 开发 软件 一 样 ， 所 有 开源 软件 已 知 的 安全 漏洞 
以 及 在 安全 社区 公布 的 安全 漏洞 必须 在 SDL 过 程 中 使 用 相同 的 威胁 模型 进行 确认 ， 评 估 以 及 
修复 ， 架 构 性 的 安全 和 隐私 审查 ， 风 险 评估 。 

一 些 没 能 适当 地 管理 开源 软件 许可 或 安全 性 的 例子 如 下 。 

。Diebold 和 PES。Artifex Software， 开 发 开源 Ghostscript PDF 软件 的 公司 ， 对 投票 

机 供应 商 Diebold 和 它 的 子 公 司 Premier Election Solutios 进行 了 起 诉 。Artifex 指出 

Diebold 将 Ghostscript 合并 进 了 商业 电子 投票 机 系统 ， 违 反 了 通用 版 权 许 可 (GPL). 

Ghostscript 最 初 开发 于 20 世纪 80 年 代 晚 期 ， 依 据 GNU GPL 进行 免费 分 发 。 这 个 许可 

允许 开发 者 学 习 ， 修改 ， 使 用 ， 重 新 发 布 这 个 软件 ， 但 是 衍生 品 需 要 遵守 相同 的 条 款 

才能 使 用 。 在 闭 源 软 件 项 目 中 使 用 Ghostscript 的 公司 可 以 通过 从 Artifex 购买 商用 许可 

的 方式 避免 版 权 问 题 。 已 经 从 Artifex 购买 Ghostscript 许可 的 商业 用 户 中 在 印刷 技术 领 

域 有 很 多 著名 的 公司 , 包括 HP, IBM, Kodak, Siements, SGI, Xerox. " 

。Skype。Skype 的 Munich 在 德国 的 区 域 法 院 被 判处 违反 了 GNU GPL。 这 个 判决 影响 了 

公司 遵守 GPL WIT. ©! 

。Verizon。 两 个 软件 开发 者 对 Verizon Communications 的 诉讼 得 到 了 判决 ， 他 们 声称 这 
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个 电信 巨头 的 宽带 服务 违反 了 开源 协议 的 许可 条 款 。 诉 讼 集中 在 转 包 商 在 Verizon 的 无 
线路 由 器 中 使 用 了 名 为 BusyBox 的 开源 程序 。 作 为 判决 的 一 部 分 ，Verizon 的 转 包 商 
Actiontec Electronics 必须 向 开发 者 Erick Andersen 和 Rob Landley 支付 一 笔 未 知 数额 的 
赔偿 。 它 也 必须 任命 一 个 内 部 官员 负责 确认 遵守 开源 软件 许可 。 癌 
Google。Google 和 其 他 公司 持续 获得 了 负面 的 宣传 ， 起 因 是 它们 使 用 的 Android 
移动 平台 发 现 了 大 量 的 安全 漏洞 并 持续 成 为 大 量 黑 客 的 目标 。McAfee 在 2012 年 
跟踪 手机 恶意 软件 显示 的 数据 ， 恶 意 软件 从 2011 年 到 2012 年 增长 了 700%。 接 近 
85% 的 智能 手机 恶意 软件 运行 在 Android 上 。 被 攻击 的 Android 手机 巨大 的 增长 数 
量 还 不 是 最 让 人 吃惊 的 : Google 的 智能 手机 平台 已 经 成 为 了 攻击 者 最 为 关注 的 目 
标 。 最 让 人 吃惊 的 是 ，Google 没有 采取 有 效 的 管理 措施 阻止 这 个 趋势 持续 发 展 。 关 
于 Android 的 安全 问题 已 经 不 是 Google 的 新 闻 了 ，Google 应 该 将 安全 问题 放 在 最 
高 的 优先 级 上 。 户 
Oracle。 安 全 专家 指控 Oracle 没有 关注 它 的 旗舰 数据 库 软 件 并 且 漏 报 了 “根本 ”的 
缺陷 的 严重 程度 。 尽 管 Oracle 在 2013 年 1 月 的 关键 补丁 更 新 中 修复 了 很 多 产品 中 的 
大 量 缺 陷 ,， 但 是 安全 专家 批评 Oracle 并 没有 修复 多 少 有 着 严重 问题 的 旗舰 版 数据 库 ， 
并 且 在 淡化 缺陷 的 严重 程度 。 就 像 Oracle 扩展 它 的 产品 ， 并 且 通 过 四 分 之 一 的 CPU 
增加 了 进行 补丁 修复 的 产品 的 总 数 ，Oracle 的 补丁 进程 出 现 了 瓶颈 。 这 个 CPU 是 
Oracle 第 一 次 包含 开源 MySQL 数据 库 ， 在 2010 作为 Sun Microsystems 收购 的 一 部 
分 收购 它 。 
CNET Download.com, CNET Download.com 在 它 发 布 的 数 千 个 软件 包 中 加 入 了 间谍 
软件 、 广 告 软 件 等 恶意 软件 ， 包 括 它 们 自己 开发 的 Nmap 安全 扫描 器 。 他 们 的 行为 甚 
至 明显 违反 了 他 们 自己 的 反 广 告 协议 〈 它 们 移 除了 页 面 中 反 广 告 软件 /间谍 软件 的 承 
诺 )。 在 受到 广泛 批评 后 ，Download.com 移 除 了 Nmap 和 其 他 软件 中 安装 的 流氓 软件 ， 
但 是 公司 依旧 进行 广泛 使 用 并 宣布 计划 对 其 进行 扩展 。 由 于 这 些 原因 ， 我 们 建议 彻底 
避免 使 用 CNET Download.com。 从 官方 网 站 或 有 道德 的 网 站 (例如 FileHippo、NiNite 
或 Softpedia) 下 载 会 更 加 安全 。 

使 用 人 工 方法 检查 、 收 集 、 监 控 和 鉴定 开源 软件 代码 是 非常 花费 时 间 且 低 效 的 ， 并 且 是 
对 开发 团队 稀缺 资源 的 浪费 。 自 动 化 工具 例如 Black Duck Software ( www.blackducksoftware. 
com) 或 Palamida ( www.palamida.com) 是 对 于 在 SDLC 开发 过 程 中 降低 花费 并 通过 SDL 管 
理 软件 安全 性 的 有 效 和 高 效 的 方法 。Black Duck Software 的 产品 和 服务 允许 机 构 分 析 软 件 源 
码 和 二 进 制 文件 ， 查 找 复 用 的 代码 ， 管 理 开 源 和 第 三 方 代码 协议 ， 遵 守 混 合 来 源 代码 的 法 律 
责任 ， 监 控 相关 的 安全 漏洞 . ”~ "Palamida 能 够 让 机 构 通过 回答 问题 “你 的 代码 包含 什么 内 容 ” 
来 管理 复杂 性 持续 增长 的 多 来 源 开发 环境 。 通 过 对 代码 库 的 详细 分 析 ， 用 户 会 对 代码 库 的 质 
量 控 制 、 风 险 规 避 、 漏 洞 评估 有 更 为 深刻 的 认识 。m™ 


7.5 最 终 安全 性 审查 


在 最 终 的 软件 开发 安全 审查 过 程 中 ,执行 的 所 有 安全 活动 ， 包 括 威胁 模型 、 工 具 输 出 ， 
以 及 流程 早期 的 性 能 需求 确认 ， 都 进行 重新 评估 以 确认 软件 产品 是 否 为 发 布 做 好 准备 。 这 个 
流程 会 导致 以 下 三 种 结果 之 一 。 
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1. 最 终 安 全 审查 通过 。 在 这 种 情况 下 ， 所 有 已 经 确认 的 最 终 安全 问题 已 经 修正 ， 软 件 已 
经 确认 满足 了 所 有 SDL 需求 ， 从 安全 角度 来 说 已 经 具备 了 发 布 的 条 件 。 

2. 最 终 安全 审查 通过 但 是 有 异常 。 在 这 种 情况 下 ， 所 有 已 经 确认 的 问题 并 未 全 部 修正 ， 
但 是 作为 妥协 可 以 接受 开发 团队 无 法 处 理 的 一 个 或 多 个 异常 。 作 为 异常 ， 没 解决 的 问题 将 不 
在 当前 版 本 进行 解决 并 且 会 被 定位 在 接 下 来 的 补丁 或 版 本 中 进行 修正 。 

3. 最 终 安 全 审查 没有 通过 ， 需 要 进行 扩展 。 在 这 种 情况 下 ，SDL 和 开发 团队 对 一 些 安全 
漏洞 与 修补 情况 无 法 妥协 ， 因 此 软件 不 能 够 发 布 。 一 个 典型 的 商业 理由 是 ，SDL 过 程 早 期 没 
能 发 现 未 遵守 SDL 安全 需求 的 问题 。 导 致 软件 无 法 发 布 的 SDL 需求 无 法 被 两 个 团队 解决 并 
且 必 须 扩展 至 更 高 的 管理 层面 来 决策 ， 用 来 评估 不 满足 需求 进行 软件 发 布 带 来 的 风险 与 后 果 。 
扩展 至 管理 层 应 该 查看 SDL 和 开发 团队 提交 的 包含 安全 风险 描述 和 理由 的 报告 。 

最 终 安全 审查 必须 仔细 地 确定 时 间 表 ,使 需要 完全 分 析 的 时 间 、 修 复 已 知 问题 的 时 间 、 
修复 最 终 安全 审查 发 现 的 安全 问题 的 时 间 最 大 化 ， 使 软件 产品 发 布 的 时 间 更 加 充裕 。 

最 终 安全 审查 的 过 程 应 该 包括 以 下 几 项 。 

。 日 程 安排 。 产 品 安全 审查 必须 设立 日 程 ， 保 证 在 这 个 步骤 能 够 获得 所 有 SDL 需求 信 

息 ， 分 配 充足 的 时 间 从 而 最 小 化 版 本 发 布 的 延期 时 间 。 开 始 日 期 直到 确定 了 所 有 安全 
检查 活动 并 且 SDL 过 程 的 开始 阶段 已 经 完成 后 才能 确认 ,包括 深度 的 安全 漏洞 审查 、 
威胁 模型 、 静 态 测 试 、 动 态 测 试 、 模 糊 测试 工具 分 析 。 

。 具 体 的 最 终 安全 审查 任务 。 

E SDL 和 开发 团队 确保 所 有 在 SDL 过 程 中 已 经 出 现 和 记录 的 问题 都 达到 了 符合 要 求 的 
程度 。 

图 已 经 在 最 终 安全 审查 的 开始 阶段 对 开发 早期 的 威胁 模型 进行 了 审查 和 更 新 ， 保 证 所 
有 已 知 和 怀疑 的 威胁 已 经 被 减轻 。 

图 所 有 安全 漏洞 已 经 通过 了 早期 建立 的 标准 的 检查 ， 至 少 最 小 的 安全 标准 已 经 通过 
SDL 获得 了 增强 。 任 何 导致 软件 产品 当前 版 本 拒绝 或 延期 的 安全 漏洞 必须 也 被 审查 。 
需要 注意 的 是 ， 如 果 SDL 和 开发 团队 没有 在 SDL 过 程 中 持续 对 安全 漏洞 的 严重 性 
进行 评估 ， 会 出 现 大 量 重复 出 现 的 安全 漏洞 ， 或 者 在 最 终 安 全 审查 过 程 中 发 现 新 的 
漏洞 ， 从 而 导致 不 必要 的 资源 和 时 间 占 用 ， 并 使 版 本 发 布 延 期 。 

图 静态 、 动 态 和 模糊 测试 工具 应 该 在 最 终 安全 审查 之 前 运行 ， 使 得 在 最 终 版 本 的 结论 
出 来 前 可 以 完整 地 评估 结果 。 在 一 些 情况 下 ， 这 些 工 具 可 能 提供 不 精确 或 者 不 可 接 
受 的 结果 ， 在 这 种 情况 下 你 应 该 重新 运行 这 些 工具 或 者 找到 可 以 替代 的 工具 。 

图 你 必须 审查 和 确保 遵守 了 所 有 相关 的 内 部 安全 策略 和 外 部 规范 需求 ， 并 且 软 件 也 满 
足 了 所 有 的 需求 。 

图 如 果 某 个 SDL 安全 需求 无 法 得 到 满足 ， 并 且 整 个 安全 风险 是 可 以 接受 的 ， 在 最 终 安 
全 审查 中 应 尽早 地 提出 。 

最 终 产 品 安全 审查 可 以 按照 4 步 流程 进行 ， 见 图 7-4。 

1. 评估 资源 的 可 用 性 。 在 该 步 中 ， 需 要 确定 执行 最 终 安全 审查 的 资源 。 增 强 质量 的 能 力 
标准 应 该 在 软件 发 布 前 评估 。 可 接受 的 最 低 安全 水 平 应 该 通过 质量 标准 建立 起 来 。 在 SDLC 
过 程 的 早期 建立 质量 标准 ， 从 而 可 以 使 安全 风险 在 SDL 过 程 的 早期 就 被 认识 到 ， 保 证 了 安 
全 漏洞 能 够 在 早期 被 确认 和 修复 ， 避 免 了 不 需要 的 工作 导致 的 版 本 发 布 延期 。SDL 和 开发 团 
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队 必 须 将 遵守 质量 标准 作为 最 终 安 全 审查 的 一 部 分 。 如 果 安 全 已 经 确认 在 SDLC 过 程 中 作为 
SDL 的 结果 建立 起 来 ， 就 可 以 最 小 化 完成 最 终 安 全 审查 的 时 间 ; 如 果 没 有 建立 ， 就 会 需要 更 
多 的 时 间 和 资源 ， 可 能 会 导致 版 本 发 布 的 延期 。 

2. 确认 合格 的 特征 。 在 该 步 中 ， 确 认 最 终 安 全 审查 的 安全 任务 的 合格 标准 。 合 格 的 特征 
应 该 在 SDL 过 程 的 早期 建立 ， 避 免 最 终 安 全 审查 中 包含 未 完成 的 安全 工作 。 子 团队 也 应 该 被 
WA, Æ SDL 过 程 中 可 能 包含 没有 报告 的 安全 漏洞 ， 在 最 终 安全 审查 中 可 能 会 找到 意外 发 现 
的 遗留 高 风险 安全 漏洞 。 

3. 评估 和 制订 修复 计划 。 在 该 步 中 ， 对 任务 负责 的 利益 相关 者 确认 之 前 的 步骤 中 已 经 得 
到 了 通知 ， 对 最 终 安 全 审查 的 日 程 安排 进行 确认 。 

4. 版 本 发 布 。 除 了 质量 标准 或 漏洞 之 外 ， 在 所 有 SDL 需求 ， 例 如 模糊 测试 、 安 全 漏洞 扫 
描 、 安 全 编码 原则 检查 、 其 他 现 有 的 安全 审查 得 到 审查 并 批准 之 后 ， 产 品 安 全 审查 就 完成 了 。 
功能 回归 测试 也 会 占用 安全 审查 的 资源 。 回 归 测 试用 来 发 现 新 软件 安全 漏洞 或 根据 已 经 发 现 
的 安全 漏洞 进行 回归 测试 。 这 些 回 归 测 试 可 能 导致 已 经 存在 的 功能 性 和 非 功 能 性 方面 的 发 生 
改变 。 简 言 之 ， 回 归 测试 评估 软件 的 一 个 部 分 发 生 改变 是 否 会 导致 软件 或 系统 中 与 它 交 互 的 
另 一 个 部 分 发 生 改变 。 i 
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图 7-4 ”最终 安全 性 审查 的 4 步 流程 


76 最终 隐私 性 审查 


典型 情况 下 ， 软 件 的 隐私 需求 必须 在 发 布 前 得 到 满足 。 尽 管 最 终 安 全 审查 必须 在 版 本 发 
布 前 完成 ， 如 前 所 述 但 是 安全 例外 强调 并 不 是 所 有 安全 问题 都 得 到 解决 才 进行 版 本 发 布 。 隐 
私 需 求 通常 可 以 在 最 终 安 全 审查 的 很 多 测试 用 例 中 得 到 核实 。 在 隐私 问卷 调查 完成 后 需要 做 
的 重要 改变 ,例如 收集 不 同 的 数据 类 型 ， 大 幅 改变 语言 或 风格 ,或 确认 新 的 软件 行为 可 能 会 
对 隐私 造成 潜在 的 负面 影响 ， 都 应 该 被 定位 。 这 就 需要 对 软件 任何 相关 的 改变 ， 或 之 前 最 终 
安全 审查 中 隐私 审查 部 分 确认 的 问题 进行 进一步 审查 。 具 体 的 最 终 隐 私 需求 审查 应 该 包括 以 
下 内 容 。 

。 如 果 项 目 已 经 被 确认 为 Pl 项 目 ， IA SDL 团队 和 隐私 团队 必须 回顾 Microsoft SDL 
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Privacy Questionnaire (附录 C) "在 之 前 章节 提 及 的 其 他 问卷 确认 的 隐私 需求 是 否 得 到 

满足 。 如 果 隐 私 团队 认为 暴露 隐私 的 问题 是 可 以 搁置 的 ， 那 么 就 不 需要 满足 这 些 需求 。 

隐私 团队 需要 批准 最 终 的 隐私 披露 声明 发 布 。 

。 如 果 项 目 被 确定 为 P2 项 目 ， 那 么 隐私 团队 确认 隐私 设计 检查 是 否 有 必要 ， 确 认 软件 架 

构 设 计 遵 守 软 件 产品 的 隐私 标准 ,. 或 确定 是 否 需要 例外 。 隐 私 团队 与 SDL 和 开发 团队 

以 及 法 律 顾 问 共同 确认 公开 版 本 的 隐私 暴露 程度 是 否 适 合 ， 保 证 隐私 暴露 对 于 以 Web 

为 中 心 的 产品 是 适当 发 布 的 。 

。 如 果 项 目 被 确定 为 P3 项 目 ， 那 么 没有 影响 隐私 需求 遵守 的 更 改 被 确认 ， 不 需要 额外 的 

检查 或 批准 ， 并 且 最 终 隐 私 审查 已 经 完成 。 如 果 没 有 ，SDL 团队 和 隐私 团队 将 会 提供 

一 份 需要 的 更 改 列 表 。 

除了 版 本 发 布 后 响应 软件 产品 安全 漏洞 需要 的 责任 、 流 程 和 程序 之 外 ， 建 立 类 似 于 产品 
功能 事件 组 ( PSIRT) 的 功能 以 回应 版 本 发 布 后 发 现 的 隐私 问题 。 这 部 分 将 会 在 下 一 章 (关于 
版 本 发 布 后 的 支持 活动 ) 中 讨论 。 


7.7 成 功 的 关键 因素 


SDL 的 第 5 个 阶段 的 成 功 依赖 于 策略 一 致 性 的 最 终 安 全 审查 、 全 面 的 安全 漏洞 扫描 和 涂 
透 测 试 ， 以 及 最 终 安全 和 隐私 审查 。 表 7-1 列 出 了 这 个 阶段 成 功 的 关键 因素 。 


表 7-1 关键 成 功 因 素 


关键 成 功 因素 fi 述 
1. 策略 一 致 性 分 析 开发 阶段 中 的 最 终 安全 审查 和 一 致 性 需求 
2. 安全 漏洞 扫描 扫描 软件 栈 确认 安全 问题 
3. 渗透 测试 利用 所 有 软件 栈 上 的 安全 问题 
4. 开源 许可 审查 最 终审 查 在 栈 中 使 用 的 开源 软件 
5. 最 终 安全 审查 最 终审 查 SDL 周期 中 确认 的 安全 需求 的 一 致 性 
6. 最 终 隐 私 审查 最 终审 查 SDL 周期 中 所 有 隐私 需求 的 一 致 性 
7. 客户 协议 框架 确认 与 客户 共享 的 安全 信息 的 框架 


成 功 因 素 1: 策略 一 致 性 分 析 

如 果 确 认 了 任何 新 的 安全 需求 (基于 威胁 或 更 新 策略 )， 需 要 进行 在 之 后 开发 阶段 中 执行 
的 可 行 性 分 析 。 一 些 需求 可 能 不 会 加 入 到 产品 中 ， 而 另 一 些 可 能 非常 重要 以 至 于 需要 延期 发 
布 产品 直到 将 这 些 因素 加 入 进去 。 

成 功 因素 2: 安全 漏洞 扫描 

安全 漏洞 扫描 以 及 安全 配置 验证 提供 了 最 后 确认 和 修复 软件 栈 中 安全 问题 的 机 会 。 安 全 
漏洞 扫描 和 安全 配置 验证 应 该 包括 不 同 优势 点 (外 部 、 内 部 、 身 份 验证 ) 的 评估 。 它 也 应 该 覆 
盖 栈 中 的 所 有 层 ， 从 操作 系统 到 应 用 程序 。 

成 功 因素 3: 渗透 测试 

渗透 测试 提供 了 确定 安全 缺陷 能 够 是 否 能 被 利用 以 及 会 达到 什么 危害 程度 的 机 会 。 确 定 
安全 漏洞 扫描 和 渗透 测试 没有 混淆 是 很 重要 的 。 安 全 漏洞 扫描 提供 了 一 个 如 果 被 利用 会 造成 
潜在 影响 的 安全 列表 。 另 一 方面 ， 渗 透 测试 是 多 个 安全 测试 者 共同 对 安全 缺陷 进行 确认 的 测 
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试 ， 并 且 多 数 以 串 行 方式 管理 。 测 试 的 影响 往往 取决 于 技能 、 想 象 力 ， 以 及 渗透 测试 人 员 的 
经 验 。 安 全 漏洞 扫描 为 渗透 测试 提供 了 素材 ， 但 这 仅仅 是 一 个 开始 。 

成 功 因 素 4: 开源 许可 审查 

开源 软件 的 最 终审 查 用 来 确认 所 有 的 需求 许可 已 经 满足 ， 对 于 避免 法 律 责任 是 很 重要 的 。 
也 能 够 使 不 同类 型 的 安全 测试 工具 得 到 确认 (安全 漏洞 扫描 和 渗透 测试 )。 

成 功 因素 5: 最 终 安 全 审查 

在 SDL 的 末尾 阶段 执行 的 最 终 安全 审查 是 很 关键 的 。 如 果 所 有 的 需求 都 满足 了 ， 那 
么 安全 性 就 通过 了 。 如 果 有 一 些 安全 需求 例外 ， 还 需要 进行 记录 和 推迟 时 间 。 举 个 例 
子 ， 一 个 “条 件 执行 ” 当 不 满足 需求 时 不 会 停止 版 本 发 布 ， 但 是 会 在 商定 的 时 间 内 进行 
修复 。 

成 功 因素 .6: 最 终 隐 私 审 查 

类 似 于 因素 5， 这 个 步骤 允许 对 产品 隐私 需求 的 最 后 审查 ， 在 该 周期 的 起 始 阶 段 就 进行 
布置 。 如 果 没 有 满足 任何 需求 ， 它 们 就 应 该 作为 例外 记录 下 来 ， 推 迟 时 间 ， 在 确定 的 时 间 
进行 修复 。 

成 功 因素 7: 客户 协议 框架 : 

正如 前 面 章节 讨论 的 ， 一 个 框架 定义 为 客户 参与 和 安全 有 关 的 讨论 ， 不 论 在 销售 过 程 之 
中 以 及 之 后 ， 都 是 非常 重要 的 。 这 么 做 能 够 限制 特殊 需求 和 客户 的 扩展 ， 让 他 们 觉得 你 们 公 
司 对 安全 问题 都 已 经 掌控 从 而 提升 用 户 的 信心 。 


7.8 可 交付 成 果 
表 7-2 列 出 了 SDL 这 个 阶段 的 可 交付 成 果 。 
表 7-2 A5 阶段 的 可 交付 成 果 


可 交付 成 果 目 ot 

更 新 策略 一 致 性 分 析 分 析 公 司 策 略 

安全 测试 报告 SDL 的 这 个 阶段 找到 的 不 同类 型 的 安全 检查 结果 

修复 报告 提供 安全 修复 报告 

开源 许可 审查 报告 对 开源 软件 许可 需求 一 致 性 的 检查 

最 终 安 全 和 隐私 审查 报告 检查 安全 和 隐私 需求 的 一 致 性 

客户 协议 框架 在 产品 生命 周期 的 不 同 阶段 对 应 参与 用 户 详细 的 框架 
更 新 策略 一 致 性 分 析 


策略 一 致 性 分 析 工 件 ( 见 第 4、5、6 章 ) 应 该 在 新 的 需求 或 策略 出 现 的 基础 在 SDL 的 这 
个 阶段 进行 更 新 。 

安全 测试 报告 

第 6 章 讨论 的 结果 汇总 应 更 新 ， 以 包含 安全 漏洞 扫描 (外 部 、 内 部 、 身 份 验证 ) 以 及 在 这 
个 阶段 执行 的 新 的 渗透 测试 。 应 该 准备 一 份 分 发 给 企业 客户 的 面向 客户 报告 。 

修复 报告 

除了 更 新 安全 测试 报告 之 外 ， 修 复 报告 应 该 也 进行 更 新 ， 以 提升 产品 的 安全 性 。 当 前 
版 本 发 现 的 没有 进行 修复 的 (以 及 发 布 前 没有 修复 的 ) 任何 安全 问题 应 该 被 讨论 并 给 出 修 
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ey 








复 计划 。 

开源 许可 审查 报告 

开源 软件 的 正式 审查 报告 应 该 准备 好 ， 用 来 证 明 软 件 满足 了 不 同 许可 需求 ( MIT 许可 、 
GNU 通用 公共 许可 、GNU 宽 通 用 许可 、BSD 许可 等 )。 安 全 和 隐私 官 应 该 审查 并 签署 这 份 
报告 。 

最 终 安全 和 隐私 审查 报告 

在 对 安全 性 和 隐私 需求 进行 最 终审 查 之 后 ， 需 要 一 份 由 安全 和 隐私 官 签 署 的 正式 文件 。 

用 户 协议 框架 

一 个 与 客户 分 享 安全 信息 的 正式 归档 过 程 应 该 在 这 个 阶段 完成 。 这 个 过 程 应 该 包括 与 客 
户 分 享 的 信息 类 型 (以 及 频率 )， 需 要 注意 的 安全 事件 ， 以 及 发 现 的 安全 问题 和 修复 SLA. 


79 度量 标准 


应 该 在 SDL 的 这 个 阶段 进行 以 下 度量 。 
。 遵 守 公司 策 略 的 百分比 (更 新 的 ) 
图 阶段 4 与 5 中 遵守 的 百分比 
。 安 全 漏洞 扫描 和 渗透 测试 发 现 的 安全 问题 的 数量 、 类 型 和 严重 性 
图 不 同类 型 测试 中 找到 的 交 秋 的 安全 问题 
图 不 同类 型 测试 发 现 的 安全 问题 严重 性 的 对 比 
图 发 现 的 安全 问题 与 之 前 确认 的 威胁 / 风险 的 映射 
。 发 现 的 安全 问题 的 修复 数量 (更 新 的 ) 
图 发 现 的 问题 的 严重 性 
图 修复 发 现 的 问题 花费 的 小 时 数 
。 发 现 的 严重 问题 的 数量 、 类 型 、 严 重 性 (更 新 的 ) 
。 遵 守 安 全 和 隐私 需求 的 百分比 


7.10 本 章 小 结 


本 章 对 成 功 的 软件 产品 版 本 的 需求 进行 了 描述 ， 完 成 了 SDLC 和 相关 的 SDL 活动 以 及 最 
佳 实践 ( 见 图 7-5 )。 既 然 我 们 通过 了 SDL 的 AS 阶段 并 且 发 布 了 产品 ， 下 一 章 将 对 SDL 的 
A6 阶段 进行 讲解 ， 即 SDL 的 版 本 发 布 后 支持 活动 (PRSA) 阶段 的 概要 。 在 软件 产品 发 布 后 ， 
软件 安全 团队 、 开 发 团队 、 隐 私 团 队 在 公司 版 权 、 法 律 ， 以 及 其 他 团队 的 支持 下 ， 应 对 可 能 
出 现 的 安全 漏洞 或 隐私 问题 进行 答复 。 另 外 ， 应 该 制订 一 份 关于 洪 在 发 布 版 本 问题 的 响应 计 
划 。 对 于 外 部 安全 漏洞 披露 后 的 响应 ， 这 个 阶段 应 该 包含 新 产品 ， 包 括 云 环境 的 配置 、 发 布 
后 证 书 、 安 全 架构 检查 ， 当 前 ， 遗 留 和 M&A 产品 与 解决 方案 基于 工具 的 评估 ， 以 及 第 三 方 
对 满足 客户 需求 的 已 发 布 软件 产品 的 检查 ， 常 规 需求 或 工业 标准 。 
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在 本 章 中 (参见 图 8-1 )， 软 件 安全 组 以 外 的 组 通过 监督 前 面 章 节 中 描述 的 SDL 活动 和 最 佳 实 
践 (Al ~ A5 )， 对 本 童 中 描述 的 功能 、 相 关 活 动 以 及 最 佳 实践 进行 控制 。 在 本 章 中 ,. 我 们 将 把 它 
们 称 为 集中 软件 安全 组 的 责任 活动 。 我 们 发 现 ， 使 用 现 有 资源 管理 这 些 活动 是 更 节约 成 本 和 有 效 
的 方法 。 这 正 是 我 们 强烈 建议 核心 软件 安全 组 由 高 级 软件 安全 架构 师 组 成 的 原因 。 在 集中 软件 安 
全 组 的 安全 软件 架构 师 和 每 个 1 级 软件 产品 的 产品 经 理 之 间 还 应 该 有 很 强 的 关系 ， 就 像 软 件 安全 
的 冠军 。 同 样 重要 的 是 ， 该 软件 的 安全 组 和 功能 要 在 正确 的 组 织 中 ， 这 样 它们 可 以 是 最 成 功 的 。 


8.1 合理 调整 软件 安全 组 


首先 ， 我 们 需要 把 握 每 个 安全 组 之 间 的 关系 ， 以 及 它们 对 于 构建 成 功 的 软件 安全 程序 的 
重要 性 。 这 样 做 意味 着 : 

e 正确 的 组 织 定位 

。 正 确 的 人 

。 正 确 的 过 程 


8.1.1 正确 的 组 织 定位 


尽管 在 过 去 几 年 里 软件 安全 技术 已 取得 了 巨大 的 进步 ， 但 是 我 们 依然 坚信 人 是 一 个 成 功 
的 软件 安全 程序 中 最 重要 的 因素 ， 其 中 包括 活动 和 最 佳 实践 的 实施 和 管理 。 为 了 让 负责 软件 
安全 的 人 人 尽 其 用 ， 他 们 一 定 是 正确 的 组 织 的 一 部 分 ( 见 图 8-2 )。 据 报道 ， 本 书 合 著者 之 一 ， 
James Ransome 先生 曾经 担任 过 七 个 首席 安全 官 (Chief Security Officer, CSO) 和 首席 信息 安 
全 官 (Chief Information Security Officer, CISO)。 基 于 他 的 工作 经 验 和 与 业内 同行 的 交流 ， 很 
显然 ， 软 件 安全 功能 在 理想 情况 下 应 该 属于 工程 (软件 开发 ) 功能 ， 尤 其 是 质量 功能 。 普 遍 的 
共识 是 ， 应 用 程序 安全 任职 人 员 通 常 报告 给 中 心 信息 安 全 负责 人 (CSO/CISO)， 不 能 混淆 软件 
安全 功能 。 通 常情 况 下 ， 那 些 在 IT 安全 团队 中 担任 应 用 程序 安全 职位 的 人 ， 善 于 使 用 工具 进 
行 测试 ， 但 缺乏 必要 的 软件 开发 背景 来 充分 解释 运行 结果 。 为 了 搞 清 楚 这 一 点 ， 区 分 软件 和 
应 用 程序 安全 是 至 关 重 要 的 。 也 许 明 晰 这 种 区 别 的 最 好 方法 就 是 引用 Gary McGraw 的 说 明 : 


软件 安全 与 构建 安全 软件 有 关 : 设计 安全 的 软件 ; 确保 软件 是 安全 的 ; 培训 软 
件 开发 人 员 、 架 构 师 和 用 户 如 何 构 建 软件 安全 。 而 另 一 方面 ， 应 用 安全 是 在 开发 完 
成 后 真实 运行 状态 下 对 软件 和 系统 进行 保护 的 。0 


软件 安全 专家 负责 向 工程 团队 汇报 的 另 一 个 优点 是 ， 他 们 是 由 同一 组 织 授权 的 ; 能 够 直 
接 负责 实施 SDL 政策 和 程序 ， 以 及 相关 工具 ; 能 够 了 解 软件 开发 、 架 构 和 修复 同一 个 安全 问 
题 所 要 求 的 工作 量 。 本 书 前 面 介绍 了 软件 安全 作为 质量 和 团队 一 分 子 的 重要 性 ， 这 样 的 关系 
也 应 该 存在 于 工程 团队 中 。 
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笔者 认为 ， 软 件 安全 应 该 是 一 组 工程 /开发 团队 ， 同 时 与 中 心安 全 团队 紧密 合作 ; CEE 
可 能 与 CSO/CISO 之 间 存 在 “虚线 ”关系 。 

软件 安全 组 向 软件 质量 组 提交 报告 的 原因 有 以 下 几 点 。 

1. 按照 定义 ， 安 全 漏洞 是 质量 问题 。 

2. 安全 特征 是 与 产品 管理 关系 密切 的 架构 功能 。 

3. 根据 上 述 两 点 ， 安 全 既是 一 种 特征 也 是 一 种 质量 功能 。 

4. 开发 过 程 包括 安全 方面 会 使 质量 管理 的 内 容 更 加 完整 ， 从 而 达到 最 佳 效果 。 


产品 质量 团队 

(工程 -软件 ) 

产品 安全 团队 

(软件 ) 
主要 软件 高 级 软件 软件 安全 高 级 软件 软件 安全 
安全 架构 师 安全 架构 师 架构 师 安全 架构 师 架构 师 
工程 软件 产品 开发 团队 

产品 业务 产品 业务 产品 业务 产品 业务 产品 业务 
单元 1 单元 2 单元 3 单元 4 单元 5 


图 8-2 正确 的 组 织 定位 


8.1.2 正确 的 人 


第 2 章 讨 论 了 为 了 使 SDL 模型 成 功 所 需要 的 人 员 配 置 。 这 包括 至 少 一 个 主要 的 软件 安全 
架构 师 ， 几 个 高 级 和 一 般 的 软件 安全 架构 师 ， 理 想 情 况 下 ， 在 每 个 软件 产品 的 安全 组 中 ， 至 
少 拥 有 一 个 软件 安全 架构 师 。 这 种 关系 如 图 8-3 所 示 。 这 样 的 人 员 配 置 提供 了 扩展 的 能 力 ， 
在 每 1 级 软件 产品 的 每 个 工程 软件 产品 开发 小 组 中 将 有 理想 的 一 款 软 件 安 全 冠军 ( Software 
Security Champion, SSC)。 人 才 的 男 一 个 要 素 是 组 织 中 的 软件 产品 传道 者 (Software Security 
Evangelist SSE)， 即 组 织 大 到 足以 有 额外 的 候选 人 扮演 SSC 的 角色 ， 他 们 在 成 为 SSC 之 前 作 
为 SSE 的 候选 人 存在 。SSE 有 两 个 角色 ， 一 个 是 训练 中 的 SSC， 另 一 个 作为 传道 者 的 整体 软 
件 产品 安全 程序 出 台 政 策 、 执 行政 策 ， 以 及 传道 整体 的 SDL 流程 。 


8.1.3 正确 的 过 程 


正确 的 过 程 就 是 到 目前 为 止 本 书 描述 的 和 图 8-4 总 结 的 核心 SDL 活动 与 最 佳 实践 。 除 
了 核心 活动 和 最 佳 实践 外 ， 我 们 在 图 8-1 中 高 亮 显示 了 活动 和 最 佳 实践 。 迫 于 压力 ， 大 多 数 
的 公司 都 要 求 用 最 少 的 资源 做 最 多 的 事 ， 我 估计 大 多 数 公司 都 不 会 奢侈 地 将 PRSA 1 ~ 5 的 
大 多 数 元 素 作 为 单独 的 组 织 ， 而 是 创新 性 地 将 其 纳入 整个 软件 的 安全 方案 中 ， 以 实现 现 有 
资源 的 优化 利用 。8.2 ~ 8.6 节 将 会 把 我 们 的 方法 应 用 到 每 一 个 组 织 成 功 所 需要 的 活动 和 最 
佳 实践 中 。 
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8.2 PRSA1: 外 部 漏洞 披露 响应 


产品 发 布 后 的 管理 关键 是 要 建立 产品 安全 事件 响应 小 组 (Product Security Incident 
Response Team，PSIRT)， 并 与 我 们 推荐 的 机 构 在 产品 发 布 后 发 现 安全 与 隐私 问题 时 共同 承担 
责任 。 无 论 你 的 软件 在 安全 方面 和 相关 的 SDL 方面 做 得 多 么 好 ， 都 会 忽略 一 些 问题 ， 因 此 你 
需要 做 一 个 计划 以 对 此 作出 回应 。 重 要 的 是 ， 如 果 在 软件 发 布 后 经 常 发 现 软件 安全 漏洞 和 隐 
私 问题 ， 就 说 明 通过 类 SDL 的 过 程 将 “安全 ”构建 到 SDLC 中 的 做 法 是 有 缺陷 的 。 这 样 的 缺 
陷 会 导致 各 种 问题 : 发 布 后 软件 存在 的 漏洞 被 披露 和 利用 ， 从 而 破坏 公司 名 洽 ; 产品 名 誉 的 
破坏 导致 市 场 份额 的 损失 ; 合同 违约 或 被 诉讼 ， 等 等 。 

根据 我 们 的 经 验 ， 拥 有 一 个 专门 负责 与 客户 沟通 产品 安全 漏洞 的 团队 是 非常 重要 的 。 我 
们 经 常 看 到 至 少 有 三 组 不 同 的 团队 与 客户 沟通 : 客户 支持 组 、 销 售 组 和 信息 安全 组 。 在 一 个 
特定 的 公司 里 ，PSIRT 可 能 是 也 可 能 不 是 信息 安全 组 织 的 一 部 分 ， 尽 管 这 无 疑 是 可 取 的 。 总 
之 ， 明 确 规定 与 客户 之 间 的 沟通 链 是 至 关 重 要 的 ， 这 样 可 以 防止 意外 信息 的 泄露 ,避免 因 鸡 
慌 而 使 得 整个 账户 危在旦夕 


8.2.1 发 布 后 的 PSIRT 响应 


关于 软件 安全 ， 产 品 安全 事件 响应 小 组 (PSIRT) 负责 应 对 软件 产品 安全 事件 ， 这 涉及 
发 布 后 软件 产品 安全 漏洞 的 外 部 发 现 。 作 为 这 项 工作 的 一 部 分 ， 该 团队 管理 公开 发 现 的 安全 
漏洞 的 调查 工作 ， 这 些 漏洞 来 自 与 他 们 交互 的 公司 软件 产品 和 系统 。 外 部 发 现 者 可 能 是 独 
立 的 安全 研究 人 员 、 顾 问 、 行 业 组 织 、 其 他 厂商 以 及 善意 或 可 能 恶意 的 黑客 ， 他 们 能 够 找 出 
PSIRT 负责 的 软件 产品 中 可 能 存在 的 安全 问题 。 发 现 的 漏洞 优先 基于 漏洞 的 潜在 严重 性 ， 通 
常 使 用 本 书 中 前 面 介绍 的 CVSS 评分 系统 ,或 者 其 他 的 环境 因素 。 该 报告 事件 的 决议 可 能 需 
要 升级 产品 以 得 到 PSIRT 母 公司 的 积极 支持 。 

识别 后 不 久 以 及 漏洞 索赔 调查 期 间 ，PSIRT 应 该 与 漏洞 发 现 者 协同 工作 ， 以 确认 该 漏洞 
的 性 质 ， 收 集 所 需 的 技术 信息 ， 并 确定 适当 的 补救 行动 。 

当初 始 调查 完成 后 ， 把 结果 传送 给 漏洞 发 现 者 ， 附 带 一 份 决议 和 公开 披露 计划 。 如 果 事 
故 报告 的 结论 无 异议 ， 该 PSIRT 应 该 尝试 去 解决 这 些 问 题 。 

将 要 求 漏洞 发 现 者 严格 保密 ， 直 到 针对 客户 完整 的 决议 是 可 用 的 ， 同 时 已 经 由 PSIRT 在 
该 公司 的 网 站 上 发 布 ， 通 过 适当 协调 的 公开 披露 通常 称 为 安全 通告 ( Security Bulletin, SB ) 。 
在 调查 和 预 申报 过 程 中 ，PSIRT 与 漏洞 发 现 者 协调 与 沟通 ， 包 括 对 事件 的 调查 情况 和 文档 进 
行 更 新 。 进 一 步 的 信息 ， 可 能 还 需要 漏洞 发 现 者 验证 索赔 要 求 和 利用 该 漏洞 所 使 用 的 方法 。 
同时 通知 漏洞 发 现 者 ， 如 果 在 PSIRT 公布 之 前 泄露 漏洞 ， 那 么 发 现 者 将 不 会 获得 公司 公开 
披露 的 信誉 ， 同 时 这 种 情况 将 被 视 为 “0-day”， 不 事先 通知 经 由 外 部 源 公 开 报 道 的 发 现 。 在 
0-day 发 现 的 情况 下 ，PSIRT 和 开发 团队 共同 努力 ， 根 据 通用 安全 漏洞 评分 系统 ( Common 
Vulnerability Scoring System, CVSS) (http://nvd. nist.gov/cvss.cfm) 得 分 尽快 修补 特定 的 漏洞 。 
对 于 一 个 0-day 且 得 分 高 的 漏洞 ， 该 公司 公关 团队 将 与 PSIRT 紧密 合作 ， 以 管理 潜在 的 负面 
新 闻 和 客户 的 反应 。 

. 在 一 个 已 报告 漏洞 的 调查 阶段 ， 在 一 个 高 度 保密 的 基础 上 ，PSIRT 负责 协调 和 管理 所 有 
的 敏感 信息 。 内 部 分 配 仅 限 于 那些 确实 需要 了 解 并 能 积极 协助 漏洞 决议 的 人 。 
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PSIRT 也 将 与 诸如 CERT 协调 中 心 ( CERT Coordination Center, CERT/CC) ( http://www. 
cert.org/ certec.html) 等 第 三 方 协调 中 心 合 作 ， 管 理 协调 行业 披露 报告 的 漏洞 对 他 们 负责 的 软 
件 产品 的 影响 。 在 某 些 情况 下 ， 多 家 厂商 将 受到 影响 ， 并 会 参与 到 与 诸如 CERT 等 中 心 的 协 
调 响 应 中 。 如 果 一 个 协调 中 心 牵涉 其 中 ,根据 具体 情况 ，PSIRT 可 能 会 代表 漏洞 发 现 者 与 中 
心 联 系 ， 或 者 帮助 他 们 自己 动手 完成 。 

如 果 产 品 的 第 三 方 组 件 受到 了 影响 ， 这 将 使 得 修复 过 程 更 加 复杂 ， 因 为 PSIRT 将 依靠 第 
三 方 进 行 整治 。 更 复杂 的 是 ，PSIRT 不 得 不 协调 ， 以 及 在 许多 情况 下 直接 通知 供应 商 以 确保 
与 第 三 方 协调 中 心 协 调 ， 并 有 可 能 与 发 现 者 一 同 直接 参与 。 即 使 已 使 用 第 三 方 组 件 ， 无论 是 
否 拥 有 它们 ,假设 也 是 主要 软件 产品 的 所 有 者 最 终 负 责 该 软件 的 所 有 组 件 。 

正如 上 面 提 到 的 ，PSIRT 一 般 采 用 CVSS 评估 漏洞 的 严重 性 ， 作 为 其 标准 流程 的 一 部 分 
去 评估 他 们 的 产品 中 报告 的 潜在 漏洞 ， 并 确定 哪些 漏洞 保证 外 部 和 内 部 报告 。 

CVSS 模型 使 用 三 种 不 同 的 度量 或 者 分 数 ， 包 括 基础 、 时 间 和 环境 的 计算 ， 所 有 三 个 分 
数 的 总 和 应 该 考虑 作为 最 后 的 CVSS 分 数 。 这 个 分 数 代表 了 某 一 个 时 刻 ; 它 专 门 针 对 特定 的 
环境 ， 并 且 用 于 优先 响应 在 外 部 发 现 的 一 个 特殊 漏洞 。 此 外 ， 大 多 数 PSIRT 将 会 考虑 修改 最 
后 的 分 数 ， 以 考虑 CVSS 分 数 未 正确 捕获 到 的 因素 。 当 确定 某 一 个 特定 漏洞 的 严重 性 以 及 是 
否 需 要 报告 它 时 ，PSIRT 通常 使 用 下 面 的 CVSS 指引 。 

。 高 (High, H): 临界 值 ，CVSS 基础 得 分 7.0 ~ 10.0 

e th (Medium, M); CVSS 基础 得 分 4.0 ~ 6.9 

。 低 (Low, L): CVSS 基础 得 分 0.1 ~ 3.9") 

如 果 存 在 涉及 产品 第 三 方 软件 的 安全 性 问题 ， 且 产品 由 该 PSIRT 负责 ， 那 么 根据 情况 以 
及 第 三 方 部 分 是 否 有 CVSS 评分 ， 该 PSIRT 可 能 使 用 组 件 创建 者 提供 的 CVSS 分 数 或 调整 分 
数 ， 以 反映 其 对 整个 软件 产品 的 影响 。 

当 一 个 或 多 个 以 下 情况 发 生 时 ， 公 开 披 露 (包括 相关 的 CVSS 基础 、 时 间 分 数 和 CVE ID 
报告 品 )， 通 常 是 用 于 一 个 外 部 发 布 后 发 现 的 事件 。 

。 事 件 响 应 过 程 已 经 完成 ， 并 已 确定 有 足够 的 软件 补丁 或 其 他 调整 措施 存在 ， 以 解决 该 

漏洞 。 可 以 发 布 公 开 披露 的 代码 修复 来 解决 严重 性 高 的 漏洞 。 

。 漏 洞 的 主动 利用 已 经 被 观察 到 ， 需 要 发 布 安全 漏洞 公告 。 该 漏洞 可 能 会 导致 PSIRT 公 

司 的 客户 风险 增加 。 这 一 公告 可 能 包括 或 者 不 包括 一 套 完 整 的 补丁 程序 或 其 他 补救 措 

施 。 如 果 可 能 ， 补 偿 控制 都 会 包含 在 公开 的 公告 中 以 提供 过 渡 性 的 保障 ， 这 将 限制 披 

露 ， 直 到 公布 永久 性 的 修复 。 

。0-day 公告 或 者 其 他 潜在 的 对 于 影响 到 PSIRT 公司 的 产品 漏洞 公众 意识 的 提高 是 可 能 的 ， 

这 将 增加 客户 的 风险 。 在 这 些 情况 下 ，PSIRT 已 与 该 公司 的 公关 (PR) 团队 密切 合作 ， 

以 帮助 评估 公共 指标 和 警告 ， 比 如 Twitter 订阅 源 和 博客 ， 这 样 的 曝光 迫在眉睫 ， 且 将 会 

有 提前 声明 的 准备 。 同 样 ， 这 样 加 速 的 公开 漏洞 公告 将 不 包括 一 套 完整 的 补 修 程序 或 其 

他 补救 措施 ， 但 是 理想 情况 下 ， 需 要 进行 临时 补偿 控制 以 限制 风险 被 识别 的 可 能 性 。 

一 个 循序 渐进 的 典型 PSIRT 案件 处 理 过 程 包括 以 下 几 个 步骤 : 

1. 被 个 体 发 现 者 或 者 组 织 评估 的 漏洞 通知 已 被 接收 。 

2. 负责 软件 产品 开发 的 团队 ， 以 及 评估 发 现 者 的 漏洞 索赔 所 需 的 资源 已 确定 。 

3. 如 果 索 赔 是 可 信 的 ， 将 指定 一 个 影响 评估 ， 同 时 修复 的 时 间 表 将 确定 。 所 需要 的 工作 
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量 和 开发 修复 的 优先 级 要 权衡 严重 性 的 公开 披露 可 能 性 和 漏洞 的 风险 。 在 某 些 情况 下 ， 由 于 
开发 团队 正在 开展 其 他 关键 任务 ， 可 能 需要 外 部 资源 。 如 果 索 赔 是 不 可 信 的 ， 需 要 通过 发 现 
者 获得 更 多 的 信息 ， 以 确保 该 威胁 能 够 在 测试 环境 中 准确 重 现 。 当 测试 环境 确认 后 ， 如 果 依 
然 不 可 信 ， 那 么 将 通知 发 现 者 公司 的 调查 结果 。 如 果 尽 管 公司 已 经 确定 它 是 不 可 信 的 ， 但 发 
现 者 依然 公开 声称 该 漏洞 是 可 信 的 ,那么 PSIRT 通常 与 该 公司 的 公关 团队 合作 ， 发 布 公司 的 
调查 结果 以 回击 发 现 者 。 
4. 修正 时 间 表 ， 修 复 一 个 确认 漏洞 所 需 的 资源 ， 以 及 报告 格式 〈 例 如 ， 安 全 公告 、 知 识 
库 文 章 ， 或 其 他 形式 的 公示 ) 的 承诺 。 
5. 当 补 修 程序 或 其 他 补救 方法 已 经 确定 后 ， 通 过 第 4 步 确定 的 报告 格式 ， 同 时 通知 所 有 
的 客户 修复 程序 可 行 的 日 期 。 
ISO 29147 和 ISO 30111 
关于 供应 商 PSIRT 正 常 运行 的 两 个 国际 标准 化 组 织 (International Standardization 
Organization, ISO) 标准 于 2013 年 年 底 发 布 : 
。 漏 洞 披露 ISO 标准 (29147 ) 
。 漏 洞 处 理 过 程 ISO 标准 (30111 ) 
下 面 的 信息 来 源 于 Katie Moussouris 9 在 2013 年 旧金山 举行 的 卡 内 基 梅 隆 大 学 计算 
机 紧急 响应 小 组 ( Computer Emergency Response Team, CERT) 供应 商会 议 上 做 的 一 
个 演示 中。 
ISO 29147 提供 相关 的 指导 方针 : 供应 商 应 对 来 自 外 部 发 现 者 的 漏洞 报告 的 方式 ; 供应 
商 和 外 部 发 现 者 之 间 沟 通 的 推荐 过 程 。 这 些 发 现 者 本 质 上 可 以 是 善意 的 ， 也 可 能 是 恶意 的 。 
为 了 使 供应 商 能 够 优化 其 应 对 他 们 产品 中 外 部 发 现 漏洞 的 能 力 ， 他 们 应 该 至 少 具 备 : 
。 有 一 个 明确 的 方式 接收 漏洞 报告 
。7 天 之 内 确认 收 到 漏洞 报告 
。 配 合 发 现 者 
。 问题 报告 包含 实用 信息 ， 至 少 包括 : 
图 一 些 唯一 的 标识 名 
图 影响 的 产品 
图 如 果 漏 洞 被 利用 ， 损 害 的 影响 /严重 程度 
图 如 何 消除 或 减轻 问题 (指导 或 补丁 说 明 ) 
图 如 果 发 现 者 希望 被 公开 致谢 ,考虑 给 予 发 现 者 信用 咨询 
ISO 30111 提供 相关 的 指导 方针 : 供应 商 如 何 进行 调查 、 分 类 并 解决 所 有 潜在 的 安全 漏 
洞 ? 是 通过 外 部 发 现 者 还 是 经 由 供应 商 的 内 部 测试 来 发 布 ? 为 了 让 供应 商 优化 他 们 的 能 力 ， 
能 够 响应 他 们 的 产品 中 发 现 的 漏洞 ， 他 们 应 该 至 少 具备 : 
。 有 一 个 流程 和 组 织 结构 ， 以 支持 漏洞 调查 和 修复 
。 执 行 根源 分 析 
。 权 衡 各 种 补救 选项 以 适应 现实 世界 的 危险 因素 ,平衡 速度 与 彻底 性 
。 如何 合适 ,尝试 与 其 他 厂商 合作 ， 比 如 对 于 涉及 多 个 供应 商 或 者 供应 链 的 问题 
建议 处 理 漏洞 报告 的 一 个 五 步 法 详细 描述 如 下 : 
O ”微软 的 高 级 完全 策略 主管 兼 标准 制定 者 。 一 一 译 者 注 
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1. 收 到 漏洞 报告 

2. 认证 

3. 解决 方案 开发 

4. 发 布 

5. 发 布 后 

整个 过 程 类 似 于 外 部 发 现 者 或 者 内 部 测试 发 现 的 漏洞 ， 但 风险 可 能 会 有 所 不 同 。 如 果 涉 
及 外 部 发 现 者 ， 应 该 遵循 ISO 29147， 重 要 的 是 : 

。 了 解 沟通 的 期 望 

。 要 考虑 到 解决 开发 阶段 发 现 者 的 意图 和 发 布 计 划 

。 通 过 咨询 发 布 修复 ， 如 在 ISO 29147 中 定义 的 流程 概述 


8.2.2 发 布 后 的 隐私 响应 


除了 可 以 被 发 现 并 公开 的 发 布 后 安全 问题 外 ， 潜 在 的 隐私 问题 也 应 该 被 发 现 。 根 据 我 们 
的 经 验 ， 与 隐私 相关 的 问题 没有 得 到 与 安全 漏洞 同样 的 重视 ， 也 没有 专门 一 个 团队 处 理 这 类 
问题 。 一 家 软件 开发 公司 可 能 有 一 个 首席 隐私 官 (CPO) 或 同等 类 型 的 职位 ， 如 一 个 专门 的 
律师 ， 但 大 多 数 公 司 没有 一 个 相关 的 工作 人 员 ， 并 有 可 能 限制 一 个 隐私 支持 专家 。 这 需要 在 
PSIRT 功能 和 中 心软 件 安全 团队 ， 以 及 公司 的 隐私 功能 之 间 保 持 密切 配合 和 工作 关系 ， 无 论 
后 者 是 内 部 的 还 是 外 包 的 。 发 布 后 的 隐私 响应 应 该 融和 人 到 PSIRT 过 程 中 ， 就 像 安 全 应 该 融入 
到 SDLC 中 一 样 。 考 虑 到 隐私 问题 或 隐私 控制 漏洞 利用 潜在 的 法 律 性 质 ， 隐 私 顾问 应 该 为 响 
应 团队 构建 基本 的 谈话 要 点 、 响 应 程序 和 法 律 要 求 升级 ， 以 回应 发 布 后 发 现 的 任何 潜在 的 隐 
私 问题 。 一 些 基 本 的 指导 原则 如 下 。 

。 隐 私 专家 应 该 直接 参与 到 隶属 于 本 书 前 面 所 描述 的 Pl 和 P2 类 别 的 所 有 事件 中 。 

。 额 外 的 开发 、 质 量 保证 ， 以 及 适用 于 发 布 后 潜在 隐私 问题 发 现 的 安全 资源 ， 应 该 在 要 

参加 发 布 后 隐私 事件 响应 问题 的 SDL 过 程 中 被 确定 。 

。 软 件 开 发 组 织 应 该 制定 他 们 自己 的 隐私 应 急 预 案 ， 或 者 修改 徽 软 的 SDL 隐私 升级 应 对 

框架 ( Appendix K) Y 为 自己 所 用 。 这 应 包括 风险 评估 、 详 细 的 诊断 、 短 期 和 长 期 行动 
计划 以 及 实施 行动 计划 。 正 如 上 面 提 到 的 PSIRT 响应 ， 该 响应 可 能 包括 创建 一 个 补丁 
或 者 其 他 风险 补救 程序 、 回 答 媒 介 查 询 和 深入 到 外 部 发 现 者 。 


8.2.3 ”优化 发 布 后 的 第 三 方 响应 


不 同 的 团队 和 利益 相关 者 之 间 的 合作 ， 提 供 了 发 布 后 响应 中 成 功 的 最 佳 机 会 。 相 比较 于 
仅仅 通过 专职 的 队伍 去 处 理发 布 后 PSIRT 和 隐私 支持 ， 软 件 安全 冠军 、 软 件 安全 传道 者 的 集 
合体 ， 以 及 软件 开发 产品 经 理 和 质量 团队 之 间 正 在 进行 的 正规 的 软件 安全 计划 ， 以 支持 和 与 
本 书 提 到 的 中 心软 件 安全 团队 合作 ， 能 够 提供 几 个 显著 的 优点 。 

。 直 接 的 PSIRT 和 隐私 响应 所 有 权 ， 通 过 组 入 这 些 功 能 到 直接 负责 修复 产品 的 工程 设计 

和 开发 团队 中 来 实现 ， 这 些 产 品 直接 受到 发 现 的 漏洞 或 隐私 问题 的 影响 。 

。 直 接 了 解 代码 、 架 构 ， 以 及 整个 软件 产品 设计 和 与 修复 过 程 有 直接 影响 的 功能 ， 在 缺 
乏 产 品 直接 知识 的 情况 下 ， 将 会 通过 外 部 组 织 实体 来 提高 效率 、 控 制 和 响应 。 从 本 质 
上 讲 ， 这 消除 了 中 间 过 程 ， 简 化 了 流程 。 
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。 这 个 过 程 在 投资 方面 提供 了 更 好 的 回报 : 通过 资源 的 杠杆 作用 ， 获 得 PSIRT 和 隐私 响 
应 功能 ; 通过 直接 参与 和 掌控 开发 团队 ， 获 得 软件 产品 源头 上 的 直接 知识 。 

。 直 接 授 权 的 开发 团队 和 项 目 经 理 ， 他 们 更 直接 地 掌控 修复 过 程 ， 并 将 专职 软件 安全 团 
队 嵌 入 到 工程 /软件 开发 团队 中 ， 这 将 为 响应 提供 单一 的 组 织 责任 。 

。 软 件 安 全 冠军 和 软件 安全 布道 者 控制 本 地 的 软件 产品 经 理 和 相应 的 产品 开发 资源 ， 直 
接 驱 动 由 外 部 发 现 者 公布 的 漏洞 的 评估 和 修复 (如 果 需 要 的 话 )。 

。 所 有 上 述 结果 以 更 快 的 时 间 来 执行 和 响应 更 重要 的 是 ， 有 利于 加 快 负面 新 闻 的 曝光 
和 客户 风险 的 缓解 。 我 们 相信 提出 的 组 织 基础 设施 ， 在 提供 具有 成 本 效益 、 较 少 的 资 
源 ， 以 及 高 效 的 方式 来 为 此 类 事件 的 响应 方面 具有 优势 ， 同 时 将 减少 专用 于 软件 本 身 
的 开发 资源 的 负担 。 


8.3 PRSA2: 第 三 方 审查 


在 过 去 的 几 年 中 ， 软 件 供应 商 的 客户 不 断 要 求 进行 独立 审计 ， 以 验证 或 者 评估 购买 的 软 
件 应 用 程序 的 安全 和 质量 。 在 过 去 的 几 年 里 ， 软 件 漏洞 已 经 越 来 越 多 地 依赖 于 高 调 的 数据 汇 
露 事件 ， 并 导致 了 更 多 的 客户 需要 独立 并 且 明 显 的 证 据 ， 以 证 明 他 们 所 购买 的 软件 是 安全 的 。 
当然 ， 这 已 经 给 开发 软件 的 公司 带 来 了 巨大 的 压力 ， 以 确保 安全 的 软件 开发 过 程 已 答 人 到 
SDLC 中 ， 避 人 免 发 布 后 发 现 漏洞 的 昂贵 支出 一 一 这 通常 是 不 成 熟 的 、 无 效 的 或 不 存在 的 软件 
安全 计划 的 迹象 。 拥 有 安全 漏洞 和 隐私 问题 的 发 布 后 代码 ， 应 该 在 开发 过 程 中 就 已 经 被 发 现 。 
由 于 这 种 优势 ， 无 论 公 司 生产 的 软件 在 代码 安全 方面 声誉 如 何 ， 发 布 后 或 者 接近 发 布 代码 的 
第 三 方 评 估 已 经 成 为 行业 的 常态 。 在 某 些 情况 下 ， 它 是 潜在 的 或 现 有 的 客户 要 求 的 。 而 在 其 
他 情况 下 ， 它 是 由 公司 生产 的 代码 主动 进行 的 。 

即使 是 拥有 优秀 的 软件 安全 计划 的 公司 ， 经 过 较 长 的 一 段 时 间 后 ， 由 于 各 种 原因 软件 应 
用 程序 会 与 政策 和 监管 要 求 有 出 人 人 。 例 如 ， 在 应 用 程序 的 新 版 本 中 的 新 功能 或 用 例 ， 可 能 会 
引入 新 的 漏洞 或 攻击 方式 ， 从 而 导致 应 用 程序 不 再 达标 。 此 外 ， 这 些 要 求 可 以 随时 间 改 变 。 
许多 公司 使 用 第 三 方 代码 审查 ， 以 帮助 识别 这 些 情况 ， 而 不 是 浪费 其 内 部 团队 有 限 的 资源 。 

第 三 方 测试 应 包括 整个 栈 的 测试 ， 而 不 仅仅 是 你 的 产品 。 这 意味 着 需要 执行 前 面 章 节 提 
到 的 测试 以 及 后 续 的 发 布 后 测试 。 至 少 ， 发 布 后 测试 应 包括 每 年 的 渗透 测试 (应 用 程序 和 软 
件 堆 )。 初 始 版 本 之 后 发 布 的 任何 新 代码 ， 应 遵循 前 面 章 节 所 述 的 SDL 要 求 。 

做 到 这 一 点 最 大 的 挑战 是 要 用 一 种 及 时 和 具有 成 本 效益 的 方式 ， 同 时 在 过 程 中 保护 源 代 
码 和 其 他 知识 产权 。 第 三 方 测试 的 一 些 选择 包括 以 下 内 容 。 

1. 提交 源 代 码 给 第 三 方 进 行 检查 。 对 于 那些 想 要 保护 他 们 源 代码 的 软件 开发 组 织 来 说 ， 
这 不 是 一 个 真正 的 选择 ， 他 们 视 源 代码 为 最 宝贵 的 知识 产权 。 

2. 对 于 每 一 个 新 版 本 ， 与 手动 渗透 测试 服务 合作 ， 他 们 亦 可 以 做 深 潜 代 码 和 软件 架构 设 
计 评 估 。 为 了 避免 源 代码 脱离 负责 开发 它 的 公司 控制 的 风险 ,合约 商 必 须 按 要 求 在 受 控 环 境 
的 现场 工作 ， 遵 守 特 殊 的 保密 协议 与 具体 的 指导 方针 。 这 些 通常 包括 源 代码 保护 政策 和 知识 
产权 保护 的 指导 方针 。 对 此 的 一 种 替换 方法 是 雇用 一 个 使 用 特定 工具 的 公司 ， 该 工具 仅仅 需 
要 披露 二 进 制 代码 。 在 这 种 情况 下 ， 合 约 商 像 其 受到 攻击 一 样 检查 应 用 程序 、 二 进 制 代码 ， 
并 能 确保 检测 到 所 有 的 威胁 。 这 种 类 型 的 测试 可 以 用 于 现场 或 者 远程 方式 的 服务 。 

3. 购买 、 安 装 和 培训 开发 团队 使 用 内 部 部 署 的 工具 和 功能 ， 成 为 较 低 级 的 软件 安全 架构 
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师 ， 作 为 软件 安全 组 的 扩展 来 完成 软件 安全 架构 评估 “人 性 化 的 一 面 ” 。 然 后 邀请 核算 师 进 入 
你 的 组 织 以 记录 你 的 过 程 。 许 多 成 熟 的 软件 安全 组 织 已 经 这 样 做 了 。 一 个 成 熟 的 软件 安全 计 
划 ， 如 在 本 书 中 提 到 的 ， 将 有 助 于 形成 规模 并 减少 做 好 这 项 工作 需要 的 额外 人 力 。 把 这 个 内 
置 到 你 的 SDL/SDLC 过 程 中 ， 是 一 个 高 性 价 比 、 高 效 和 可 管理 的 方式 。 

4. 要 求 代码 的 第 三 方 供应 商 在 你 的 应 用 程序 中 做 同样 的 操作 。 在 当今 的 软件 开发 环境 下 ， 
多 数 的 软件 开发 组 织 利用 在 其 他 地 方 开 发 的 代码 ， 要 么 是 商用 现成 产品 (Commercial Off-The- 
Shelf, COTS)， 要 么 是 开放 源码 的 软件 。 就 像 使 用 内 部 开发 的 软件 ， 第 三 方 也 应 该 依据 每 个 软 
件 应 用 程序 所 有 者 的 要 求 准备 一 份 鉴定 报告 。 这 份 报告 可 能 包括 攻击 面 评 佑 、. 加 密 评估 、 架 
构 风 险 分 析 、 技 术 与 特定 的 安全 测试 、 二 进 制 分 析 (如 果 源 代码 不 可 用 )、 源 代码 分 析 (如 果 
源 代码 可 用 )， 以 及 除了 一 般 的 笔 测 试 程序 外 的 模糊 测试 。 


8.4 PRSA3: 发 布 后 认证 


有 许多 关注 安全 的 认证 ， 一 个 软件 开发 团队 可 能 会 在 产品 发 布 后 遇 到 这 些 认 证 。 基 于 各 
种 各 样 的 原因 ， 产 品 发 布 后 认证 的 添加 被 视 为 一 个 需求 ， 而 不 是 在 开发 过 程 中 。 这 些 原 因 可 
能 包括 : 设计 和 开发 过 程 中 未 规划 的 工业 或 政府 部 门 中 的 软件 使 用 ， 刚 开始 使 用 该 软件 ;新 
的 政府 、 国 家 、 区 域 、 企 业 或 工业 部 门 ， 以 及 在 软件 发 布 之 前 未 存在 的 监管 要 求 。 在 软件 开 
发 之 前 未 存在 的 发 布 后 认证 要 求 是 一 个 可 原谅 的 错误 ， 但 是 缺少 当前 需要 的 任何 认证 并 在 
SDL 早期 缺少 认证 都 是 不 可 伐 恕 的 。 为 了 避免 正在 开发 的 软件 用 法 不 兼容 ， 需 要 公司 的 内 部 
资源 致力 于 遵从 软件 使 用 认证 和 其 他 方面 的 要 求 ， 包 括 隐 私 要 求 ， 也 可 以 是 个 人 或 组 织 专门 
提供 该 领域 的 体验 。 随 着 这 些 类 型 的 认证 和 要 求 的 数量 在 全 球 范 围 内 急剧 增加 ， 这 将 特别 具 
有 挑战 性 。 以 下 是 安全 或 隐私 认证 或 者 标准 方面 例子 的 一 个 简短 清单 ， 由 于 市 场 或 用 例 的 变 
化 ， 符 合 发 布 后 要 求 的 软件 产品 可 能 会 成 为 必然 。 

。 联 邦 信息 安全 管理 法 案 (Federal Information Security Management Act, FISMA) 四 

。 联 邦 信息 标准 140-2 ( Federal Information Standard 140-2, FIPS 14-2 ) 一 一 加 密 模块 的 安 

全 需求 品 

。 美 国 国防 部 信息 保障 认证 认可 流程 (The U.S. Department of Defense Information 

Assurance Certification and Accreditation Process, DIACAP) 6” 

。 健 康 保 险 流通 与 责任 1996 法 案 ( The Health Insurance Portability and Accountability Act, 

HIPAA 儿 隐私 和 安全 规则 ) "9 

。 安 全 港 (隐私 ) U _ 

。 面 向 技术 和 出 口 管 制 认 证 的 联邦 服务 ( The Federal Service for Technical and Export 

Control, FSTEK, 俄罗斯 )( 隐 私 和 安全 ) 22 


8.5 PRSA4: 新 产品 组 合 或 云 部 署 的 内 部 审查 

在 行业 中 ,我 们 继续 遇 到 误解 ， 即 一 旦 软件 已 经 通过 SDL， 就 可 以 以 任何 方式 重新 使 用 
该 软件 的 代码 。 但 这 个 假设 是 错误 的 ， 因 为 软件 产品 发 布 后 发 生 的 任何 体系 结构 变化 将 很 可 
能 给 前 面 安全 的 代码 引入 新 的 攻击 风险 。 由 于 这 个 原因 ， 当 发 布 后 的 代码 有 一 个 新 使 用 的 软 
件 或 体系 架构 变化 时 ， 软 件 代码 必须 再 一 次 通过 SDL 过 程 。 任 何 新 的 代码 也 必须 通过 前 几 章 
概述 的 各 类 安全 性 测试 。 
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8.6 PRSA5: 安全 架构 审查 和 基于 工具 评估 当前 、 遗 留 以 及 并 购 的 产品 和 解 
决 方案 


8.6.1 遗留 代码 


虽然 它们 可 能 曾经 被 视 为 不 必要 的 成 本 负担 ， 但 是 我 们 在 SDL 中 强调 的 最 佳 活动 和 最 佳 
实践 是 发 现 后 的 结果 ， 即 安全 并 不 总 是 软件 开发 过 程 中 的 关键 因素 ， 有 时 会 导致 安全 漏洞 ， 
以 及 与 待 开发 软件 的 初始 成 本 相 媲美 的 风险 缓解 成 本 。 遗 留 代码 的 验收 基于 所 预期 发 生 的 候 
设 ， 即 必须 证 明 该 软件 在 功能 上 是 正确 的 、 在 操作 上 是 可 行 的 。 然 而 ， 当 涉及 软件 安全 时 ， 
意 想 不 到 的 事 通常 会 导致 漏洞 。 这 些 安全 漏洞 不 仅 在 费用 上 是 不 可 接受 的 ， 而 且 从 操作 性 、 
功能 性 和 整体 风险 的 角度 来 看 也 是 不 能 被 接受 的 。 当 该 软件 支持 嵌入 式 关键 系统 和 应 用 程序 
时 这 一 点 特别 真实 ， 如 在 国家 和 地 区 基础 设施 、 交 通 运输 、 国 防 、 医 药 和 金融 中 发 现 的 安全 
漏洞 。 在 这 些 应 用 中 ,与 意 想不到 的 安全 软件 和 系统 漏洞 相关 的 责任 、 成 本 、 使 命 和 业务 影 
响 ， 被 认为 是 不 可 接受 的 。 除 了 遗留 软件 的 架构 可 以 被 正确 评估 ， 并 从 安全 角度 分 析 ， 和 否则 
变化 的 影响 无 法 预测 ， 也 不 能 更 有 效 地 应 用 。 这 就 是 为 什么 在 SDL 中 随后 的 同样 测试 和 严格 
审查 必须 在 遗留 代码 审查 中 随后 进行 : 作为 减轻 意 想不到 错误 的 手段 。 如 果 按 照 合适 的 流程 
严谨 来 做 ， 这 将 在 确保 安全 的 代码 实现 方面 意义 深远 ， 这 在 遗留 和 新 的 代码 之 间 是 一 致 的 。 

考虑 到 更 换 或 重新 设计 的 成 本 ,我 们 会 继续 使 用 一 个 遗留 的 软件 应 用 程序 ， 尽 管 其 往往 
竞争 力 较 差 且 不 易 兼容 新 的 软件 。 在 这 方面 ， 最 显著 的 问题 是 ， 该 组 织 有 可 能 已 经 依赖 这 个 
遗留 的 软件 应 用 程序 一 段 时 间 ， 它 预期 我 们 在 SDL 中 描述 的 软件 开发 安全 活动 和 当前 推动 这 
些 做 法 的 任务 。 此 外 ， 可 能 需要 大 量 的 资金 和 资源 来 消除 这 个 安全 方面 的 “技术 负债 ”。 技 术 
负债 描述 的 是 交付 什么 和 应 当 应 付 什么 之 间 的 差异 。 使 用 遗留 代码 和 技术 负债 的 重要 性 是 大 
多 数 公司 开 发 软件 的 关键 。m 

具有 技术 负债 的 遗留 代码 也 可 以 存在 ， 因 为 即使 产品 应 该 处 在 “生命 结束 ”状态 ， 一 个 
或 多 个 客户 不 会 或 无 法 升级 到 软件 的 新 版 本 ， 并 且 用 户 恰好 是 一 个 重要 客户 ， 他 认为 这 个 产 
品 对 于 其 业务 来 说 是 必 不 可 少 的 。 这 个 “重要 客户 ”的 身份 往往 导致 遗留 代码 和 产品 依然 在 
服务 中 ， 所 以 与 一 个 或 多 个 客户 仍 在 使 用 该 产品 的 关系 不 受到 损害 。 

因为 它 是 你 的 财务 负债 ， 所 以 偿还 你 的 技术 负债 并 不 总 是 有 必要 的 。 可 能 会 有 部 分 代码 
应 该 是 固定 的 , 但 是 软件 产品 依然 如 广告 宣传 的 那样 工作 ; 优化 代码 和 消除 已 知 的 技术 负债 
可 能 不 会 产生 有 价值 的 投资 回报 。 你 也 可 以 决定 只 选取 程序 中 的 代码 ， 因 为 它 不 再 有 用 。 在 
这 样 的 情况 下 ， 你 可 能 不 再 需要 偿还 技术 负债 。 

上 述 讨论 中 最 重要 的 是 ， 遗 留 软件 中 的 技术 负债 可 能 包含 安全 漏洞 。 在 开发 项 目的 过 程 
中 ， 对 于 一 个 组 织 来 说 ， 很 容易 在 软件 质量 和 安全 性 方面 变 得 松懈 。 最 常见 的 是 ， 当 团队 在 
一 个 给 定 的 时 间 内 预期 完成 过 多 的 功能 ， 或 者 质量 和 安全 根本 不 考虑 软件 的 高 优先 级 特性 时 ， 
会 出 现 这 样 的 结果 。m” 在 这 些 情况 下 ， 在 遗留 代码 中 有 可 能 存在 安全 漏洞 ， 即 技术 负债 的 结 
时。 从 软件 产品 安全 的 角度 看 ， 查 看 遗留 代码 时 主要 的 任务 是 权衡 解决 安全 技术 负债 带 来 的 
投资 回报 和 置之不理 的 危险 。 两 个 主要 的 决定 必须 要 考虑 : 

1. 你 编写 了 多 少 SDL 可 能 擦 除 的 新 代码 以 取代 现 有 的 旧 代码 ? 旧 代码 量 将 以 什么 速度 被 
替换 ? 剩 下 的 代码 面临 的 安全 风险 有 哪些 ? 

2. 回顾 旧 代码 是 一 个 缓慢 而 乏味 的 过 程 。 重 要 的 投资 回报 决策 必须 做 出 。 你 必须 保留 这 
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项 工作 的 资源 ， 以 降低 现 有 资源 的 技术 安全 负债 。 这 项 工作 的 工作 量 将 取决 于 在 代码 开发 过 
程 中 SDL 是 否 存在 。 如 果 在 遗留 代码 开发 过 程 中 没有 SDL， 工 作 量 将 会 很 高 。 

下 面 是 评估 遗留 软件 应 用 程序 安全 性 的 基本 流程 。 

。 评 估 应 用 程序 的 业务 重要 性 。 该 软件 应 用 程序 可 能 已 经 成 功 地 使 用 多 年 ， 这 可 能 是 第 
一 次 从 安全 的 角度 来 审视 它 。 事 实 上 ， 第 一 次 使 用 这 样 的 安全 级 别 进行 审查 是 极 有 可 
能 的 。 如 果 发 现任 何 安全 漏洞 或 缺陷 ， 尽 管 有 可 能 只 有 一 个 或 两 个 ,减轻 它们 也 将 可 
能 需要 巨大 的 工作 量 和 大 量 的 资源 。 重 要 的 是 要 确定 业务 的 关键 性 ， 以 便 平衡 业务 风 
险 与 安全 隐患 和 在 这 些 情况 下 的 投资 回报 。 

。 确 定 对 代码 非常 熟悉 的 人 。 由 于 遗留 代码 是 “ 老 ” 代 码 ， 因 此 如 果 组 织 中 的 某 些 人 了 
解 该 软件 ， 它 最 有 可 能 最 近 没 有 被 更 新 或 者 有 几 个 更 新 。 此 外 ， 它 可 能 已 经 在 一 个 古 
老 的 语言 库 之 上 进行 开发 ， 和 /或 缺乏 文档 或 者 注释 。 如 果 是 这 种 情况 ， 那 么 下 一 步 是 
进行 软件 安全 评估 ， 这 与 SDL 过 程 中 的 做 法 非常 相似 。 如 果 遗 留 软件 存在 原来 的 开发 
商 、 文 档 和 历史 信息 ， 以 及 一 些 安全 性 已 内 置 到 该 软件 中 ， 那 么 安全 评估 过 程 可 以 缩 
短 到 只 集中 地 评估 现 有 的 知识 空白 。 

。 也 应 该 询问 其 他 基本 问题 ， 比 如 : 

图 因为 一 个 已 知 的 安全 漏洞 或 者 缺陷， 这 个 应 用 程序 是 否 已 经 被 利用 ? 

图 它 有 没有 得 到 解决 ?如 果 没 有 ， 什 么 可 以 做 这 件 事 呢 ? 

图 在 软件 架构 、 功 能 ， 或 使 用 上 是 否 有 一 些 改变 可 能 已 经 增加 了 新 的 安全 漏洞 或 新 的 
攻击 水 平 ? 

。 使 用 SDL 的 关键 软件 安全 评估 技术 ， 评 估 软 件 的 安全 性 。 

。 创 建 提议 ， 这 将 告诉 企业 如 何 修复 软件 中 的 安全 漏洞 或 缺陷 (成 本 + 时 间 )， 或 他 们 应 
该 如 何 快速 地 考虑 替代 它 (成 本 )。 如 果 该 软件 确定 将 被 替换 ， 将 会 在 过 渡 期 间 出 现 风 
险 。 所 以 在 遗留 代码 被 替换 之 前 ， 你 需要 确保 你 知道 安全 漏洞 和 缺陷 的 位 置 ， 并 制定 
一 个 计划 ， 以 减轻 和 限制 由 于 软件 的 对 抗 攻击 或 者 利用 可 能 带 来 的 任何 损害 。 

。 在 业务 方面 如 果 修 复 的 成 本 是 不 能 被 接受 的 ， 并 且 没 有 客户 、 行 业 或 法 规 要 求 需要 该 
安全 漏洞 或 缺陷 是 固定 的 ， 那 么 将 要 求 业务 部 门 的 高 级 管理 人 员 和 律师 签署 协议 ， 以 
接受 继续 使 用 遗留 软件 可 能 带 来 的 风险 ， 其 中 前 者 包括 开发 软件 和 软件 工程 开发 组 织 
可 能 的 负责 人 。 


8.6.2 ”兼并 和 收购 


为 了 保持 竞争 力 ， 大 多 数 公 司 要 开发 新 产品 ， 进 入 市 场 并 寻求 替代 品 ， 如 兼并 和 收购 
(merger and acquistion, M&A)， 这 发 生 在 当 且 仅 当 他 们 使 用 现 有 的 资源 无 法 做 到 这 一 点 时 。 发 
生 兼 并 和 收购 的 原因 有 很 多 ， 但 通常 是 渴望 提高 竞争 力 、 盘 利 能 力 ， 或 者 公司 及 其 产品 的 其 
他 价值 。 在 软件 领域 ， 这 通常 是 在 你 的 解决 方案 集 或 者 产品 本 身 中 需要 的 功能 。 如 果 M&A 
的 主要 重点 是 目标 公司 的 软件 ， 收 购 获得 的 人 才 将 是 一 个 加 分 项 。 当 M&A 开始 被 初步 讨论 
时 M&A 活动 宣布 开始 ， 经 过 详尽 的 调查 阶段 ， 并 继续 把 目标 公司 及 /或 收购 的 技术 整合 到 母 
公司 中 。 在 这 个 过 程 中 的 工作 量 和 工作 范围 ， 将 取决 于 工作 的 规模 和 复杂 性 。 应 该 指出 的 是 ， 
M&A 并 不 总 是 包括 目标 公司 的 所 有 资源 。 它 们 可 能 包括 某 一 软件 产品 的 代码 ， 或 者 对 于 收购 
公司 来 说 是 有 吸引 力 的 和 价值 的 多 个 技术 或 产品 。 
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M&A 中 的 详尽 调查 阶段 是 非常 关键 的 ， 安 全 在 促使 其 成 功 的 过 程 中 起 到 至 关 重 要 的 作 
用 。 如 果 软 件 是 M&A 的 一 部 分 ， 将 需要 安全 架构 复审 和 自动 化 工具 的 使 用 。 它 要 么 通过 使 
用 该 潜在 收购 者 的 软件 安全 人 员 ， 要 么 通过 第 三 方 来 完成 ， 这 取决 于 作为 评估 一 部 分 的 限制 
以 及 源 代码 是 否 可 以 进行 审查 。 由 于 源 代码 的 专 有 性 ， 大 多 数目 标 公司 不 会 允许 他 们 的 源 代 
码 在 M&A 评估 过 程 中 进行 审查 。 因 此 ， 需 要 一 个 自动 化 的 工具 ， 它 能 够 通过 静态 二 进 制 分 
析 进 行 全 面 的 代码 审查 。 这 是 通过 扫描 二 进 制 级 别 编 译 的 代码 或 者 “ 字 节 ” 码 ， 而 不 是 审查 
源 代 码 完成 的 ， 并 且 通 常 包 括 静 态 、 动 态 和 手工 技术 。 

进行 M&A 软件 安全 评估 的 最 佳 清单 ， 可 以 在 表 1“ 软 件 保证 ( Software Assurance, SwA) 
关注 ”和 表 2“ 专 有 与 开发 源 (Proprietary & Open Source, GOTS) 和 定制 软件 的 问题 ”中 看 到 ， 
它们 可 参见 美国 卡 内 基 梅 隆 大 学 的 “ Software Supply Chain Risk Management & Due-Diligence, 
Software Assurance Pocket Guide Series: Acquisition & Outsourcing, Volume II, Version 1.2” "°, 
网 址 是 https://buildsecurityin.us-cert.gov/sites/default/files/DueDiligenceMWV12_01AM090909. 
pdf。 男 一 个 类 似 的 和 有 用 的 资源 是 卡 内 基 梅 隆 大 学 软件 工程 研究 所 的 工作 文章 ,，“ Adapting 
the SQUARE Method for Security Requirements Engineering to Acquisition”""， 网 址 是 www. 
cert.org/.../SQUARE_for_ Acquisition Working Paper v2.pdf. SQUARE 代表 系统 质量 要 求 
工程 (Systems Quality Requirements Engineering)。 这 篇 特殊 的 文章 描述 了 SQUARE 收购 
(A-SQUARE) 过 程 中 的 SQUARE， 并 适用 于 不 同 的 收购 情况 。 

在 M&A 软件 安全 审查 过 程 中 ， 软 件 安全 评估 人 员 应 该 记 住 的 一 些 关键 因素 包括 以 下 内 容 。 

1. M&A 软件 安全 审查 的 目的 不 是 着 眼 于 摆脱 目标 软件 的 元 素 ， 而 是 评估 任何 确定 的 安全 
隐患 可 能 带 来 的 商业 风险 。 

2. 突出 显示 任何 可 能 会 改变 交易 性 质 或 从 负面 影响 整合 的 事物 。 

3. 寻找 任何 可 能 成 为 潜在 大 忌 的 事物 。 


8.7 成 功 的 关键 因素 


外 部 漏洞 信息 披露 响应 过 程 

在 SDL 周期 的 发 布 后 阶段 ， 拥 有 一 个 明确 定义 和 记录 的 外 部 漏洞 信息 披露 响应 过 程 是 至 关 
重要 的 。 利 益 相 关 者 应 该 明确 ， 职 责 分 配 和 责任 分 配 和 矩阵 (可 靠 的 、 负 责任 的 、 Se 
tf) (Responsible, Accountable, Consulted, and Informed, RACI) 矩阵) 应 创建 。 更 重要 的 是 ， 
有 一 文 团队 应 有 责任 与 客户 洽谈 漏洞 和 修复 。 所 有 其 他 团队 和 利益 相关 者 应 该 与 团队 一 起 工作 ， 
并 确保 没有 其 他 沟通 途径 或 者 任何 信息 选择 性 地 披露 给 客户 。 通 常情 况 下 ， 大 客户 或 者 企业 客 
户 会 被 给 予 优惠 待遇 ， 并 获知 中 小 规模 企业 无 法 得 到 的 信息 。 这 不 是 一 个 良好 的 安全 习惯 。 漏 
洞 信息 或 者 全 部 透露 给 大 家 ， 或 者 全 部 都 不 透露 。 选 择 性 的 披露 不 是 一 个 好 主意 ， 喜 欢 与 客户 
玩 保密 ， 在 某 些 情况 下 可 能 是 非法 的 或 影响 什么 是 对 于 所 有 客户 来 说 是 公平 和 公正 的 待遇 。 

同样 重要 的 是 ， 定 义 和 形 式 化 内 部 漏洞 处 理 流程 为 整体 漏洞 管理 和 整治 方案 的 一 部 分 。 
除了 产品 /服务 的 安全 团队 和 外 部 研究 团队 之 外 ， 员 工 和 内 部 客户 往往 会 发 现 安全 问题 ， 并 
将 其 传达 给 产品 或 者 运营 团队 。 需 要 有 一 个 明确 定义 的 过 程 ， 以 确保 所 有 相关 的 安全 漏洞 被 
捕获 ， 并 完成 整治 队列 。 

”发 布 后 认证 
该 产品 发 布 (或 部 署 在 云 环境 中 ) 后 需要 的 相关 认证 ， 应 该 已 经 在 SDL 周期 的 某 一 早期 


RA ks ZH (PRS41 ~ 5) 139 








阶段 确定 。 认 证 的 要 求 应 该 已 经 包含 在 安全 和 隐私 要 求 中 。 这 将 防止 认证 的 合 规 性 审计 过 程 
中 的 任何 改造 或 发 现 。 认 证 通常 需要 做 年 度 审 计 或 监督 审核 。 安 全 团队 应 该 与 安全 合 规 团 队 
合作 ， 以 确保 符合 所 有 相关 的 控制 要 求 。 | 

第 三 方 安全 审查 

正如 我 们 已 经 讨论 过 的 ， 第 三 方 审查 在 为 最 终 用 户 和 客户 证 明 “ 安 全 ”方面 往往 是 至 关 
重要 的 。 厂 商 的 首选 名 单 应 该 由 软件 团队 创建 ， 而 这 些 厂商 应 审核 他 们 的 技能 和 能 力 以 便 
处 理 敏 感 信 息 。 由 于 这 些 厂商 将 处 理 敏 感 安全 信息 ， 因 此 着 重 注意 他 们 是 否 使 用 全 盘 加 密 、 
安全 通信 ， 测 试 一 结束 就 处 置 任何 客户 数据 ， 等 等 。 任 何 时 候 ， 有 必要 进行 安全 测试 ， 应 
选择 这 些 厂商 中 的 一 个 进行 测试 。 整 个 软件 栈 和 产品 组 合 的 安全 测试 应 至 少 每 年 都 要 进行 。 

任何 架构 变化 或 者 代码 重用 的 SDL 周期 

任何 架构 或 者 代码 改变 ， 或 者 代码 /组 件 重 用 ， 应 该 触发 SDL 活动 (尽管 并 非 全 部 改变 
可 能 是 必要 的 ， 这 取决 于 这 些 变化 的 重要 性 )。 

遗留 代码 、M&A 和 EOL 产品 的 安全 策略 和 过 程 

遗留 代码 很 可 能 将 永远 不 会 更 新 或 修改 。 此 外 ， 遗 留 软件 栈 也 将 永远 不 会 被 打 补 丁 或 升 
级 。 旧 的 Apache Web 服务 器 上 运行 的 软件 会 严重 依赖 它 以 及 操作 系统 ， 因 而 应 用 程序 本 身 未 
改变 的 情况 下 它 不 会 升级 。 遗 留 代码 中 发 现 的 任何 安全 问题 将 需要 很 长 的 时 间 来 修复 (如果 
有 的 话 )。 处 理 遗 留 代码 最 好 的 办 法 是 尽 你 所 能 远离 它 。 备 选 方案 包括 定义 安全 过 程 用 于 管理 
遗留 代码 中 的 安全 漏洞 ， 密 切 (至 少 每 年 一 次 ) 监控 遗留 代码 ， 以 及 隔离 运行 遗留 代码 的 产 
品 ， 使 它们 对 环境 的 风险 最 小 。 

在 发 布 后 阶段 ，M&A 安全 评估 策略 是 成 功 的 关键 因素 之 一 。 正 如 前 面 提 到 的 ， 你 可 能 无 
法 访问 源 代码 ， 因 此 评估 策略 需要 考虑 其 中 一 一 也 就 是 说 ， 你 可 能 需要 使 用 二 进 制 文件 ， 而 
不 是 源 代码 。 最 后 ，M&A 安全 评估 应 该 为 被 收购 软件 的 整体 质量 提供 输入 。 如 果 这 个 评估 没 
有 通过 精心 思考 或 正确 操作 ， 软 件 安全 组 或 信息 安全 组 最 终 可 能 会 很 长 一 段 时 间 处 理 这 些 后 
果 。 收 购 软 件 的 缺陷 可 能 会 削弱 部 署 在 环境 中 的 其 他 产品 的 软件 状态 。 

除了 处 理 遗 留 代 码 、 产 品 和 M&A 的 策略 外 ， 为 产品 /发布 的 最 新 版 本 定义 行 尾 计划 是 很 
重要 的 。 任 何 行 尾 路 线 图 能 够 引导 从 此 刻 开 始 的 安全 策略 。 


8.8 可 交付 成 果 
K 8-1 列 出 了 SDL 这 个 阶段 的 可 交付 成 果 。 
表 8-1 主要 可 交付 成 果 


可 交付 成 果 fi R 
外 部 漏洞 信息 披露 响应 过 程 定义 安全 漏洞 评估 和 沟通 的 过 程 
发 布 后 认证 来 自 外 部 各 方 的 认证 ， 展 示 产 品 / 服务 的 安全 状态 
第 三 方 安全 审查 除 内 部 测试 团队 以 外 的 团队 进行 的 安全 评估 
遗留 代码 、M&A 和 EOL 计划 的 安全 策略 与 过 程 减轻 遗留 代码 和 M&As 带 来 的 安全 风险 的 策略 


外 部 漏洞 信息 披露 响应 过 程 
该 交付 成 果 应 明确 该 过 程 中 的 利益 相关 者 ， 并 为 他 们 扮演 的 角色 创建 一 个 RACI。 此 
外 ， 与 客户 的 沟通 节奏 应 该 正式 发 布 ， 以 让 公司 中 的 每 一 个 人 意识 到 这 一 点 ， 当 需要 时 亦 
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能 够 调用 它 。 最 重要 的 是 ， 这 个 过 程 每 次 都 应 该 遵循 ， 无 论 安 全 是 来 自 外 部 渠道 还 是 需要 
披露 给 客户 。 

发 布 后 认证 

发 布 后 认证 可 能 包括 : 基于 目标 市 场 的 多 个 可 交付 成 果 或 证 书 、 监 管 需要 和 客户 需求 。 
这 些 因 素 中 的 任何 一 个 都 可 以 驱动 认证 策略 。 如 果 这 些 认 证 的 驱动 程序 仍然 存在 ， 认 证 就 应 
该 更 新 。 

第 三 方 安全 审查 

此 可 交付 成 果 包 括 独立 第 三 方 的 多 重 安全 评估 。 基 于 评估 至 少 需要 建立 两 份 报告 : 一 份 
用 于 内 部 使 用 ， 另 一 份 用 于 外 部 使 用 。 外 部 报告 不 应 该 列 出 安全 漏洞 的 详细 信息 ， 或 者 公开 
敏感 信息 。 用 于 内 部 使 用 的 报告 应 该 尽 可 能 详细 列 出 安全 漏洞 的 相关 信息 ， 并 且 提 供 短期 和 
长 期 的 整治 建议 。 

遗留 代码 、M&A 和 EOL 产品 的 安全 策略 和 过 程 

E SDL 下 ， 有 三 种 不 同 的 可 交付 成 果 : 遗留 代码 和 产品 的 安全 策略 、M&A 的 安全 策略 、 
临终 计划 。 所 有 这 些 都 应 该 由 利益 相关 者 进行 审批 ,一 旦 他 们 已 经 由 每 一 个 人 签署 就 应 在 实 
践 中 实现 。 


8.9 度量 标准 


以 下 度量 指标 应 该 作为 SDL 该 阶段 的 一 部 分 : 

。 应 对 外 部 披露 的 安全 漏洞 的 时 间 (以 小 时 为 单位 ) 

。 每 月 全 职员 工 (Full-Time Employee, FTE) 处 理 对 外 披露 过 程 需 要 的 小 时 数 
。 产品 发 布 后 发 现 的 安全 问题 的 数目 ( 按 严 重 程度 排列 ) 

。 每 月 客户 报告 的 安全 问题 数目 

。 任意 SDL 活动 中 ， 客 户 报告 的 安全 问题 没有 确定 的 数目 


8.10 ”本章 小 结 


本 章 结束 了 循序 渐进 的 SDL 的 概述 ， 涵 盖 了 关于 发 布 后 安全 和 隐私 支持 的 方法 ， 我 们 认 
为 这 些 是 独特 、 实 用 、 及 时 、 操 作 上 相关 的 方法 。 这 种 方法 不 仅 将 任务 和 团队 的 责任 融入 到 
SDL 中 ， 还 能 够 授权 中 心软 件 安全 团队 和 工程 软件 开发 团队 拥有 他 们 直接 负责 产品 的 安全 过 
程 。 更 为 重要 的 是 ， 我 们 将 所 需 的 组 织 结构 、 人 员 和 流程 融 为 一 体 ， 更 加 有 效 且 高 效 ， 同 时 
最 大 限度 地 保证 安全 的 投资 回报 和 发 布 后 环境 的 隐私 支持 。 在 下 一 章 中 ,我 们 将 采取 所 有 当 
前 讨论 到 的 方法 ， 并 使 其 与 各 种 软件 开发 方法 相关 联 ， 无 论 是 是 瀑布 、 敏 捷 、 混 合 ， 还 是 介 
于 两 者 之 间 。 我 们 已 经 包括 可 交付 成 果 和 度量 指标 (第 3 章 到 第 8 章 )， 它 们 可 用 于 组 织 管理 、 
优化 、 衡 量 软件 安全 程序 的 有 效 性 。 在 第 9 章 中 ， 我 们 把 它们 集成 在 一 起 以 使 用 SDL 框架 解 
决 现实 世界 的 问题 。 
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第 9 章 | 


Core Software Security: Security at the Source 


将 SDL 框架 应 用 到 现实 世界 中 





Brook Schoenfield 


在 本 章 ， 我 们 想 把 你 们 介绍 给 Brook Schoenfield。 他 是 一 位 真正 的 思想 领袖 和 受 
Ba ay Kp fo LRRD, AA Brook 有 作为 一 位 软件 安全 架构 师 的 丰富 经 验 ， 
所 以 我 们 邀请 他 来 写本 章 。 我 们 相信 该 主题 作为 SDL 最 困难 和 关键 的 部 分 ， 需 要 从 
一 位 经 验 丰 富 的 软件 安全 架构 师 的 角度 提出 高 可 信 度 的 解决 方案 。Brook 和 我 们 是 多 
年 的 同事 和 好 友 ， 同 时 也 经 历 了 我 们 在 构建 、 指 导 、 管 理 和 为 大 型 和 小 型 软件 以 及 
企业 安全 程序 提供 技术 指导 时 遇 到 的 相同 的 挑战 。 接 下 来 的 章节 浓缩 了 Brook 多 年 
的 经 验 ， 对 于 在 开发 期 间 的 安全 软件 ， 哪 些 可 行 ? 哪些 不 可 行 ? 更 重要 的 是 哪些 应 
当 可 行 ? 上 述 问 题 的 答案 见 本 章 。 本 章 展示 的 模型 也 是 James 和 Brook 几 个 月 来 头 
脑 风暴 的 结果 。 作 为 介绍 Brook 的 一 部 分 ， 我 们 在 下 面 给 出 其 背景 。 


Brook S. E. Schoenfield 是 迈克 菲 (McAfee) “公司 的 首席 架构 师 和 产品 安全 主管 。 他 
负责 给 迈克 菲 公司 广 泛 的 产品 组 合 中 各 个 方面 的 产品 安全 提供 技术 支持 。 先 前 ， 他 担任 欧 
特 克 (Autodesk) 公司 的 企业 安全 架构 师 ， 负 责 IT 安全 技术 方面 的 战略 。 作 为 思科 系统 
(Cisco System) 公司 高 级 安全 架构 师 ， 他 是 企业 软件 即 服务 (Software as a Service, SaaS) 
产品 安全 的 技术 主管 。Schoenfield 先生 已 经 在 多 个 会 议 上 发 表演 讲 ， 包 括 RSA, Software 
Professionals, SANS 峰会 等 ， 展 现 他 所 在 领域 的 专业 知识 : SaaS 安全 、 软 件 安全 、 信 息 安 全 
风险 、Web 安全 、 面 向 服务 的 架构 和 身份 管理 。 他 已 在 SANS 协会 8、 思科 和 EEE 上 发 表 多 
篇 文章 。 


9.1 引言 


软件 安全 依赖 于 一 系列 正确 执行 的 任务 。 没 有 执行 起 来 能 够 提供 “足够 ”软件 安全 的 “ 尚 
方 宝剑 ” 式 的 任务 。 安 全 必须 从 开发 生命 周期 的 早期 开始 设计 。 同 时 每 个 寻找 缺陷 的 活动 都 
是 互补 的 。 遗 漏 一 个 活动 的 同时 其 他 活动 仅仅 为 了 补偿 这 个 遗漏 就 需要 付出 很 多 。 软 件 项 目 
之 前 的 区 别 在 于 哪些 任务 提供 最 安全 的 投资 回报 ; 一 些 系统 的 一 些 活动 都 是 无 关 紧要 的 。 当 
一 些 SDL 安全 任务 的 应 用 程序 依赖 于 每 一 个 项 目 特定 的 属性 时 ， 其 他 的 SDL 任务 隐藏 在 安 
全 开发 的 核心 当中 。 这 些 任务 是 开发 软件 的 关键 ,这 些 软件 可 以 被 依赖 而 且 也 是 自我 保护 的 。 
不 管 在 什么 情形 下 ， 该 组 核心 活动 适用 于 任何 一 个 保持 安全 状态 的 软件 项 目 。 这 些 活动 可 以 
应 用 到 任何 一 个 项 目 上 。 

无 论 采 用 什么 开发 方法 ， 都 将 会 有 高 层次 的 系统 架构 任务 、 软 件 架构 注意 事项 和 软件 设 
计 问 题 。 编 写生 产 代码 之 前 ， 这 些 任务 必须 先 完成 (虽然 实验 时 可 以 选择 跳 过 其 中 的 一 些 )。 


O ”迈克 菲 是 全 球 最 大 的 专业 安全 技术 公司 ，McAfee 杀毒 软件 是 全 球 最 畅销 的 杀毒 软件 之 一 。 一 一 译 者 注 
© 系统 网 络 安全 (System And Network Security, SANS ) 。 一 一 译 者 注 
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在 这 些 代 码 被 测试 之 后 ， 如 果 有 测试 计划 要 执行 ， 计 划 执 行 的 测试 必须 包括 功能 测试 以 及 从 
攻击 者 的 角度 进行 的 测试 。 在 这 些 处 理 标记 ( 即 设计 和 测试 阶段 ) 之 间 ， 将 会 编写 代码 。 生 
成 代码 是 软件 开发 的 核心 。 在 一 些 方法 中 ， 可 能 有 一 些 设计 工作 仅仅 出 现在 代码 编写 之 前 ， 
甚至 是 在 代码 已 经 开发 之 时 。 无 论 采 用 哪 种 方法 ， 都 会 有 处 于 安全 开发 核心 的 赌注 性 ( table- 
stake) 任务 : 安全 的 正确 性 、 同 行 评审 和 静态 分 析 (如 果 有 的 话 )。 

这 些 任 务 没 有 一 个 本 身 能 够 构成 一 个 “尚方 宝剑 ” 式 的 活动 以 提供 安全 的 软件 。 每 个 任 
务 相 辅 相 成 。 创 建 一 个 安全 和 可 保护 的 架构 ， 具 有 可 理解 的 流 和 可 控 的 信任 边界 ， 使 得 软件 
的 功能 能 够 被 写 人 到 支持 安全 的 环境 中 。 一 个 精心 构思 的 安全 架构 应 该 需要 鼓励 安全 部 署 和 
使 用 的 功能 。 一 旦 该 架构 支持 必需 的 安全 功能 ， 它 就 能 在 一 开始 就 被 设计 成 安全 软件 ， 而 不 
是 在 实现 之 后 再 补 全 。 

由 于 安全 编码 依然 是 一 门 艺术 ， 本 地 化 语言 和 运行 时 的 变化 增加 了 复杂 性 ， 即 一 个 健壮 
的 实际 SDL 操作 ， 也 就 是 “信任 但 也 要 验证 ”。 相 信 开 发 者 能 够 编写 安全 的 代码 。 此 外 , R 
取 多 个 独立 的 和 互补 的 保证 方法 检查 代码 : 同行 审查 、 静 态 分 析 、 功 能 测试 和 输入 路 径 的 动 
态 测试 。 

简 而 言 之 ， 为 安全 做 准备 ， 考 虑 如 何 实 现 必需 的 功能 ， 构 建功 能 ， 然 后 测试 代码 ， 保 证 
安全 功能 如 预期 的 那样 发 挥 作用 以 及 在 编码 过 程 中 没有 引入 漏洞 。 

我 们 最 终 坚 信 : 从 根本 上 来 说 ， 软 件 安全 是 人 们 必须 解决 的 一 个 问题 ; 技术 只 不 过 是 人 
脑 的 延伸 。 如 我 们 将 看 到 的 ， 关 系 是 一 个 成 功 SDL 的 关键 。 显 然 ， 人 们 设计 、 编 码 和 测试 代 
码 。 人 们 必须 在 做 每 一 件 事情 时 保持 安全 意识 ， 就 是 为 了 使 完成 的 产品 具有 构成 “安全 软件 ” 
的 所 有 属性 。 因 为 每 一 个 SDL 任务 的 执行 需要 聪明 、 技 术 娴 熟 、 有 创造 力 的 人 ， 所 以 执行 
SDL 的 人 是 最 重要 的 组 成 部 分 。 当 我 们 探讨 安全 开发 生命 周期 (SDL) 的 每 一 部 分 时 ， 我们 将 
注意 到 通过 巩固 关系 和 提供 积极 的 劳动 力 可 以 生产 安全 的 软件 。 

图 9-1 举例 说 明了 SDL 的 活动 流 : 

架构 => 设计 => 编码 => 测试 
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图 9-1 真实 的 软件 开发 生命 周期 


最 终 ， 图 9-1 中 的 SLD 流 减 少 到 一 个 简单 的 范例 : 架构 反馈 设计 ， 然 后 构建 ， 即 “ 纺 
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码 ” 。 编 码 设计 必须 通过 一 系列 的 验证 ， 即 “测试 ” 。 本章 详 细 描述 了 哪些 活动 符合 图 9-1 
中 说 明 的 每 一 个 高 层 阶 段 ， 以 及 这 些 活 动 在 瀑布 或 者 敏捷 开发 中 应 如 何 使 用 。 当 我 们 从 实 
现 的 角度 讨论 SDL 时 ， 我 们 将 会 问 关键 问题 来 精确 确定 哪些 活动 必须 参与 到 何 种 类 型 的 软 
件 项 目 。 为 了 合理 地 应 用 安全 开发 生命 周期 活动 ， 理 解 这 一 点 很 重要 ， 即 不 是 每 一 个 项 目 
都 需要 每 一 个 活动 。 从 全 新 的 概念 (“未 开发 区 ”) 或 者 完全 重新 设计 一 个 用 户 接口 变化 的 
最 小 集 ， 应 用 每 一 个 安全 任务 到 任意 的 项 目 中 是 浪费 和 昂贵 的 。 要 求 每 个 项 目 ， 即 使 没有 
Web 服务 器 ， 也 要 经 过 Web 漏洞 扫描 ， 实 在 是 太 傻 了 。 不 仅 事 倍 功 半 ， 而 且 开 发 团队 可 能 
WA SDL 是 毫 无 意义 的 “文书 ”"， 因 为 它 是 没有 好 处 、 虚 空 的、 形式 主义 的 工作 。 

过 去 ,熟练 的 安全 专家 ， 通 常 是 安全 架构 师 或 者 安全 工程 师 ， 负 责 从 完整 的 SDL 菜单 中 
选择 合适 的 任务 。 随 着 安全 架构 师 开 始 了 解 系统 ， 她 (或 他 ) 能 够 规定 正确 的 活动 以 提供 安全 
软件 。 例 如 ， 知 道 有 一 个 Web 服务 器 只 会 被 部 署 在 一 个 隔离 的 网 络 中 ， 且 只 由 少数 几 个 可 信 
赖 的 管理 人 员 使 用 ， 架 构 师 可 能 会 选择 放弃 一 个 详细 的 Web 漏洞 扫描 以 支持 网 络 和 应 用 程序 
的 访问 控制 。 必 要 的 安全 状态 纵深 防御 可 以 通过 应 用 多 个 互补 的 控件 来 实现 。 就 像 一 个 画家 
拥有 调 色 板 的 技术 控制 一 样 ， 架 构 师 使 用 他 (或 他 ) 的 调 色 板 构 建安 全 状态 。 

一 些 组 织 能 够 部 署 的 安全 控件 不 具备 高 度 的 灵活 性 : 他 们 只 能 部 署 少数 几 个 ; 一 个 完整 
“ 调 色 板 ”解决 方案 是 不 可 能 的 。 或 者 该 组 织 可 能 不 具备 将 合适 的 SDL 任务 分 配给 项 目的 项 
目 分 析 技 能 ;或 者 拥有 太 少 的 分 析 师 去 实现 大 规模 或 多 样 化 的 软件 开发 投资 组 合 。 在 这 些 或 
类 似 的 情况 下 ， 一 个 趋势 是 采用 “通用 的 ”方法 。 这 种 方法 应 用 SDL 的 所 有 任务 到 每 一 个 项 
目 中 ,不 关心 项 目 大 小 、 目 标 软 件 的 变更 量 以 及 组 件 的 变化 。 根 据 我 们 的 经 验 ， 这 种 方法 充 
满 了 陷阱 : 抵制 、 滥 用 、 错 过 时 间 表 或 者 团队 完全 无 视 安 全 任务 。 将 安全 集成 到 软件 项 目 中 
不 是 一 个 “通用 的 ”问题 。 不 仅 会 有 浪费 ， 甚 至 会 徒劳 无 功 ， 而 且 负责 任务 的 工程 师 将 会 对 
SDL 失去 信心 。 这 将 会 导致 人 们 对 项 目的 冷漠 ， 其 至 玩弄 (gaming) 这 个 系统 去 规避 当前 开 
发 者 面临 的 问题 以 使 SDL 成 为 毫 无 意义 的 形式 主义 。 

相反 ， 基 于 许多 不 同 的 组 织 多 年 来 对 成 百 上 千 个 软件 系统 成 功 的 安全 分 析 ， 我 们 提出 
了 一 种 简单 的 方法 。 这 个 丰富 的 经 验 已 经 浓缩 为 一 系列 关键 问题 和 由 答案 推断 出 的 任务 流 。 
SDL 活动 中 成 功 的 应 用 程序 能 够 通过 问 这 儿 个 重要 的 问题 来 完成 ， 要 么 在 项 目 启动 时 要 么 在 
开发 过 程 的 每 个 高 级 阶段 之 前 。 在 SDL 阶段 相关 联 的 任务 完成 之 前 ， 每 一 个 定义 的 问题 必须 
得 到 回答 。 

但 并 不 能 认为 执行 这 些 任 务 很 简单 。 正 如 微软 威胁 建 模 者 已 经 指出 的 ， 威 胁 建 模 可 以 由 
任何 一 个 拥有 好 奇想 法 的 人 完成 。 尽 管 如 此 ， 在 当前 实践 中 ， 通 常 需要 一 个 有 经 验 的 架构 
师 ， 他 能 够 明白 项 目 架构 、 预 期 的 部 署 模型 、 开 发 语言 和 运行 时 。 架 构 师 同时 必须 对 于 该 
种 威胁 代理 拥有 很 强 的 把 握 ， 他 们 能 够 积极 地 应 对 这 类 软件 。 甚 至 ， 他 必须 明白 相关 的 攻 
击 方法 ， 以 便 构建 现实 的 威胁 模型 。 静 态 分 析 工 具 需 要 相当 多 的 专业 知识 ， 如 大 多 数 形式 
的 动态 测试 、Web 漏洞 扫描 以 及 输入 模糊 测试 。 学 习 和 有 效 地 运行 现 有 的 工具 是 很 重要 的 。 
代码 审查 需要 理解 一 般 安全 正确 性 、 特 定 待 代码 审查 的 流 和 结构 ， 以 及 应 该 如 何 实现 预期 
的 功能 。 最 初级 的 工程 师 可 能 不 是 这 些 任务 的 最 佳人 选 一 一 至 少 ， 得 有 经 验 丰 富 的 从 业者 的 
重要 支持 。 

如 果 一 个 人 可 以 把 一 系列 正确 的 问题 导入 到 SDL 中 ， 选 择 一 组 正确 的 高 级 任务 将 被 证 明 
是 相当 简单 的 事情 。 即 使 执行 的 这 些 任务 是 重要 的 ， 这 也 是 正确 的 。 存 在 一 种 依赖 关系 ， 即 
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任务 处 理 流 遵 循 答案 之 外 的 逻辑 。 一 旦 任务 流 参与 进来 ， 适当 的 活动 将 会 以 一 个 或 多 或 少 线 
性 的 方式 发 生 。 

显然 ， 使 得 SDL 相关 和 适当 ， 使 得 SDL 不 同 利益 相关 者 之 间 有 意义 的 交互 成 为 可 能 。 
如 前 所 述 ， 让 聪明 、 忙 碌 的 人 来 做 他 们 无 法 感知 价值 的 事情 ， 不 能 加 强 安全 团队 的 信心 。 相 
反 ， 一 个 透明 的 过 程 本 质 上 明显 有 相反 的 效果 。 让 SDL 参与 者 回答 诸如 哪些 活动 适合 于 他 们 
当前 项 目的 基础 问题 需要 在 本 质 上 建立 信任 。 事 实 是 执行 如 下 任务 的 许多 人 依然 需要 深厚 的 
技术 (通常 还 有 人 际 关系 ) 专长 。 

当前 的 发 展现 状 没有 足够 简化 一 些 SDL 任务 ,使 得 “任何 人 ”都 能 够 执行 他 们 ， 即 使 开 
发 团队 的 每 一 个 成 员 拥有 少量 的 技术 技能 。 对 于 我 们 参加 的 大 多 数组 织 来 说 ， 体 系 结构 评估 
或 漏洞 扫描 依然 是 专家 领域 。 基 于 这 种 状况 ,“ 关 系 ” 变 得 异常 重要 。 实 现 安全 的 软件 需要 许 
多 人 齐心 协力 朝 着 共同 的 目标 一 一 显然 ,这 意味 着 非 安 全 参与 者 必须 明白 安全 是 一 个 “共同 
目标 ”。 因 此 ， 我 们 提倡 尽 可 能 多 的 透明 度 ， 能 够 耦合 到 一 个 SDL 实现 中 ， 用 尽 可 能 多 的 技 
术 推动 人 力 和 关系 。 关 键 的 决定 性 问题 是 现实 世界 中 实现 人 们 关注 SDL 的 这 一 步 。 

关键 的 决定 性 问题 将 在 本 章 的 后 面 介绍 。 首 先 我 们 将 检查 每 一 个 SDL 的 核心 ， 那 些 不 依 
赖 于 变化 数量 或 者 接口 类 型 的 活动 。 如 果 没 有 这 些 核 心 的 任务 ，SDL 将 缺少 最 重要 的 组 成 部 
分 ， 以 保证 为 了 安全 编写 正确 的 代码 并 且 包 含 尽 可 能 少 的 缺陷 : 编写 安全 的 代码 、 审 查 代 码 、 
通过 静态 分 析 运 行 代码 。 

就 像 我 们 检查 应 用 到 实际 项 目 中 的 SDL 任务 一 样 ， 本 章 将 详细 地 描述 软件 安全 程序 的 支 
持 部 分 ， 用 来 培养 和 养 成 需要 的 技能 ， 以 便 很 好 地 执行 任务 。 


9.2 安全 地 构建 软件 


在 安全 软件 开发 的 核心 ， 有 三 个 关键 的 活动 。 图 9-2 描述 了 在 敏捷 和 瀑布 开发 中 的 这 三 
个 关键 活动 及 它们 的 关系 。 每 一 个 程序 员 必 须 尝试 编写 安全 的 、 防 御 性 的 和 自我 保护 的 代码 。 
对 于 程序 员 来 说 ， 不 需要 安全 路 径 也 可 以 理解 以 他 们 使 用 的 编程 语言 必须 做 些 什么 。 不 同 的 
编程 语言 和 不 同 的 执行 环境 需求 的 侧重 点 不 同 。 实 际 上 ， 某 一 种 编程 语言 存在 的 问题 对 于 男 
一 种 语言 可 能 不 值得 考虑 ; 程序 员 仅仅 需要 了 解 C/C++ 和 Java 之 间 的 区 别 即 可 理解 这 个 事实 。 
C/C++ 语 言 允 许 内 存 的 误 处 理 ， 事 实 上 ， 程 序 员 非 常 容易 做 一 些 不 安全 的 操作 。 相 反 ，Java 
语言 负责 所 有 的 内 存 处 理 ， 程 序 员 不 再 需要 担心 内 存 的 分 配 和 回收 。 

即使 编写 正确 、 安 全 代码 的 专家 也 会 犯错 误 。 当 前 的 现实 是 ， 很 少 有 开发 者 是 安全 方面 
的 专家 ， 更 不 用 说 某 一 特定 语言 和 运行 时 中 的 安全 问题 。 此 外 ， 有 一 点 需要 记 住 ， 编 写 软件 
代码 既是 一 门 工程 也 是 一 门 艺术 。 当 存在 一 些 正确 的 实现 和 错误 的 实现 (工程) 时 ， 表 达 正 确 
的 实现 也 需要 大 量 的 创造 力 。 对 于 一 个 特定 的 问题 可 能 存在 多 种 算法 。 任 何 一 种 选择 的 算法 
将 会 有 多 种 表达 方法 。 这 并 没有 考虑 创新 : 程序 员 可 能 会 遇 到 尚未 尝试 的 计算 机 问题 ; 他 将 
不 得 不 创建 一 个 全 新 的 算法 或 者 大 幅 修 改 某 一 标准 。 同时， 即使 拥有 命名 规范 和 其 他 的 编码 
标准 ， 程 序 设计 语言 本 质 上 是 富有 表达 力 的 。 这 可 能 成 为 程序 员 的 激励 因素 之 一 : 创造 性 地 
工作 。 但 是 创造 力 和 创新 带 来 了 错误 。 错 误 是 创新 的 代价 。 不 是 每 一 个 想法 都 可 行 ， 大 多 想 
法 可 能 是 不 可 行 的 。 一 个 非常 成 功 的 方法 是 通过 试图 解决 问题 来 了 解 一 个 问题 。 这 种 迭代 的 
方法 在 构建 软件 的 过 程 中 经 常 使 用 ,但 迭代 发 现 导致 了 一 定 程度 的 失败 和 错误 。 我 们 将 假定 
缺陷 和 漏洞 是 创新 的 直接 结果 (当然 ,创新 和 创造 力 不 是 漏洞 的 唯一 原因 )。 
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白色 安全 编码 手工 代码 审查 川 。 静态 分 析 





安全 开发 生命 周期 
图 9-2 无 论 使 用 的 是 开发 方法 还 是 SDL， 软 件 安全 的 核心 要 素 是 不 变 的 


软件 安全 从 业者 面临 着 一 个 权衡 ， 即 减少 创新 和 降低 可 能 的 工作 满意 度 ， 还 是 交付 代码 保证 
安全 性 。 这 就 需要 保证 步 又 来 提供 适当 的 帮助 。 我 们 建议 任何 一 种 开发 过 程 的 核心 中 ， 都 应 该 包 
括 人 工 代码 审查 和 静态 分 析 。 也 就 是 说 ， 给 予 创造 性 的 程序 员 大 量 的 帮助 以 交付 安全 的 代码 。 

图 9-3 形象 地 强调 了 主要 的 编码 流 : 编写 安全 的 代码 、 静 态 分 析 和 人 工 代 码 审查 。 这 是 
在 软件 构建 方面 “构建 ”基本 的 “安全 ”版 本 ， 也 就 是 安全 开发 生命 周期 的 “核心 ” 。 不 管 使 
用 的 哪 种 开发 过 程 ， 这 些 核 心 任务 都 位 于 安全 软件 的 中 心 。 


安全 编码 代码 审查 





图 9-3 SDL 的 核心 


9.2.1 编写 安全 的 代码 


每 个 程序 有 (EY) 两 个 目的 : 一 个 是 程序 要 实现 什么 ， 另 一 个 是 程序 不 实现 什么 
如 果 编 写 软件 的 软件 工程 师 能 够 生成 正确 的 、 无 差错 的 代码 ， 将 会 有 更 少 的 软件 安全 问 
题 “。 并 且 只 有 正确 的 软件 ， 就 不 需要 所 有 的 非 设计 相关 的 SDL 任务 。 在 陈述 显而易见 的 风 


O ”仍然 会 有 逻辑 错误 、 架 构 和 设计 遗漏 及 委托 错误 。 逮 辑 错误 不 依赖 于 正确 的 代码 。 很 有 可 能 不 可 靠 地 指 
定 ， 然 后 代码 正好 在 规范 那里 发 生 错误 。 也 就 是 说 ， 它 可 能 正确 地 遵循 不 正确 的 规范 然后 引入 逻辑 漏洞 。 
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险 ， 编 写 正确 的 代码 方面 一 直 是 困难 的 ， 甚 至 没有 安全 方面 的 考虑 。 自 从 软件 行业 诞生 以 来 ， 
当 软 件 工程 师 采用 术语 “bug”( 意 思 是 “软件 错误 ”) 的 时 候 ， 工 程 师 们 努力 使 产生 的 代码 是 
正确 的 ， 在 逻辑 上 正确 并 且 没 有 运行 时 错误 。 从 所 有 已 经 写 出 的 软件 的 丰富 经 验 推断 ， 我 们 
可 以 得 出 这 样 的 结论 : 编写 没有 错误 的 代码 是 非常 、 非 常 困难 的 。 没 有 错误 不 是 不 可 能 的 ， 
但 它 仍然 是 一 个 遥远 的 理想 ， 而 不 是 一 种 常态 。 

认识 到 编写 代码 会 产生 错误 是 很 自然 的 ， 软 件 工程 师 试图 找到 一 个 度量 ,来 显示 任何 一 
个 特定 代码 片段 的 可 靠 性 和 无 错误 性 。 一 个 度量 方式 是 每 一 行 代码 中 缺陷 (bug) 的 数量 。 人 
们 普遍 认为 生产 软件 大 约 每 1000 行 包含 一 个 代码 错误 。 这 是 一 个 非常 通用 的 统计 。 可 能 生产 
的 软件 含有 更 少 错误 ; 你 只 关注 关键 的 太空 任务 或 军事 软件 ， 这 通常 必须 遵守 更 严格 的 缺陷 
限制 。 当 然 ， 写 得 很 糟糕 的 软件 可 能 存在 超过 每 1000 行 1 个 缺陷 的 数量 级 。 然 而 ， 通 常 ， 在 
任何 适度 复杂 的 代码 段 中 都 有 错误 。 今天 我 们 可 以 说 ,我 们 没有 办 法 保证 100% 的 软件 或 安 
全 错误 在 发 布 之 前 被 剔除 掉 。 最 好 的 方法 是 通过 所 需 的 SDL 活动 ( 见 下 文 ， 确 定 问题 )， 以 
确保 大 部 分 的 错误 可 以 在 产品 部 署 或 者 售卖 之 前 被 捕获 和 修复 。 如 果 在 软件 发 布 后 发 现 错误 ， 
基本 上 每 个 人 都 应 该 缩短 SDL 周期 以 矫正 错误 ,测试 ， 发 布 。 


测试 显示 的 是 存在 的 bug， 而 不 是 不 存在 的 bug”, 


除了 这 些 总 体 上 的 显著 错误 之 外 ， 一 些 比 例 的 错误 会 受 影响 ， 这 些 错误 可 以 被 攻击 者 操 
纵 ; 也 就 是 说 ， 这 些 错 误会 成 为 安全 “漏洞 ” 。 我 们 在 这 里 关注 漏洞 。 

有 合理 的 确定 性 ， 开 发 人 员 至 少 有 部 分 时 间 将 产生 不 正确 的 代码 ， 并 且 这 些 错误 将 受到 
恶意 操纵 。 因 此 ， 代 码 中 将 会 有 漏洞 。 这 不 是 一 个 放弃 努力 编写 正确 的 代码 的 理由 。 一 开始 
就 正确 编码 的 好 处 远 远大 于 其 支出 ; 这 是 一 个 既定 事实 ， 尽 早 在 开发 周期 实现 正确 性 更 便宜 ， 
更 容易 。 最 早 的 时 间 点 在 开始 编写 代码 之 时 。 

有 几 个 互补 的 活动 ， 当 放 在 一 起 时 ， 将 有 助 于 减少 代码 编写 过 程 中 的 安全 缺陷 : 开发 人 
员 培 训 、 安 全 库 和 证 明 实现 推广 以 便 重用 。 

显然 ， 开 发 人 员 必 须知 道 什 么 是 预期 的 ， 哪 里 需要 注意 安全 ， 什 么 是 必须 编程 的 正确 行 
为 。 任 何 和 所 有 的 训练 方法 都 是 有 好 处 的 ， 虽 然 可 能 显而易见 的 一 些 方法 的 效果 不 好 。 

开发 人 员 应 该 理解 ， 在 一 个 非常 高 的 层面 ， 在 他 们 编写 的 软件 中 有 些 缺 陷 有 着 深远 的 影 
响 。 功 能 规范 描述 了 将 如 何 使 用 该 软件 。 这 些 规范 之 中 的 安全 属性 和 功能 是 用 户 和 软件 的 所 
有 者 所 要 求 的 。 一 般 情况 下 ， 这 些 已 经 指定 被 编写 。 这 并 不 代表 没有 错误 混 进 来 ; 确实 有 错 
误 出 现 。 但 由 于 属性 是 需求 的 一 部 分 ， 因 此 开发 人 员 有 一 个 有 机 系统 ， 如 身份 验证 和 授权 ， 
以 及 API 函数 和 类 (实现 通信 的 保护 )， 如 TLS / SSL。 如 果 指 定 了 ， 开 发 人 员 通 常会 尝试 构 
建 这 些 功能 。 

安全 行业 主要 对 漏洞 很 感 兴趣 (可 以 利用 的 东西 )， 也 就 是 说 ， 安 全 缺陷 。 漏 洞 是 缺陷 ， 
操作 时 会 产生 副作用 (可 以 被 利用 ) ; 漏洞 是 bug。 最 终 安全 从 业 人 员 必 须 评估 风险 ， 这 是 漏 
洞 的 一 部 分 ， 它 是 一 个 自然 的 职业 。 但 是 ， 开 发 人 员 不 关注 漏洞 。 他 们 只 关注 正确 性 。 算 法 
写 得 正确 吗 ? 这 段 代码 实现 的 规范 准确 吗 ? 这 段 逻辑 生成 正确 的 路 径 吗 ? 这 段 代 码 对 于 之 前 
从 未 见 过 它 的 人 足够 清晰 吗 ? 这 段 代码 拒绝 无 效 输入 吗 ? 这 段 代 码 会 崩溃 吗 ?崩溃 的 项 目 可 
以 恢复 吗 ? 这 些 类 型 的 问题 使 开发 人 员 思 考 。 漏 洞 通常 是 错误 的 副产品 ， 通 常 不 是 错误 本 身 。 

从 漏洞 到 缺陷 或 错误 代码 的 回溯 追踪 是 在 撰写 本 章 时 信息 安全 领域 的 一 个 缺失 。 说 到 安 
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全 ， 人 们 会 谈论 漏洞 。 开 发 人 员 想 知道 bug 在 哪里 ， 以 及 如 何 改正 。 开 发 人 员 通 常 问 :“ 什 么 
是 必须 实现 的 正确 行为 ?” 

把 bug 的 作用 理解 为 可 以 让 一 个 程序 充满 漏洞 对 于 程序 员 来 说 是 很 有 用 的 。 然 而 ， 培 训 
应 该 关注 什么 是 正确 的 、 自 我 保护 的 行为 。US-CERT 的 关键 实践 ( 即 减 轻 最 恶劣 的 、 可 利用 
的 软件 缺陷 D 将 是 一 个 崭新 的 开始 ,. 实 践 关注 正确 的 、 安 全 的 编程 。 本 书 的 重点 不 是 漏洞 
的 副作用 或 攻击 模式 ， 而 是 系统 特性 和 算法 ， 它 们 将 防止 这 些 问 题 。 例 如 ， 对 于 跨 站 点 脚本 
(XSS， 也 表示 为 XXS) 错误 ， 现 在 的 Web 应 用 程序 所 特有 的 ， 关 键 实践 建议 将 防止 XSS 与 
程序 解决 方案 互补 起 来 。 下 面 的 引用 建议 了 一 种 特定 的 算法 ， 它 不 仅 是 “正确 ”的 ， 同 时 也 
防止 XSS “的 变种 漏洞 。 l 


当 可 接受 的 对 象 集 ， 如 文件 名 或 URL， 有 限 或 已 知 时 ， 创 建 了 从 一 组 国定 的 输 
入 值 (比如 数字 id) 到 实际 文件 名 或 URL 的 一 个 映射 ， 并 拒绝 所 有 其 他 输入 。 午 


注重 正确 行为 的 训练 是 减少 安全 漏洞 的 关键 。 一 个 安全 编码 训练 计划 可 能 开始 于 一 个 安 
全 系统 的 必要 高 级 属性 。 有 许多 安全 设计 原则 集合 。 开 放 式 Web 应 用 程序 安全 项 目 (Open 
Web Application Security Project, OWASP) 概括 了 几 个 最 广为人知 的 原则 : 

。 应 用 纵深 防御 (全面 调节 )。 

。 使 用 正面 的 安全 模型 (加 载 安全 默认 值 ， 减 少 攻击 面 )。 

。 不 安全 。 

。 最 小 特权 运行 。 

。 避 免 含糊 的 安全 性 (开放 式 设 计 )。 

。 保 持 简单 安全 (可 核查 、 经 济 的 机 制 )。 

。 检 测 人 侵 (有 危害 的 记录 )。 

。 不 要 相信 基础 设施 。 

。 不 要 相信 服务 。 

。 建 立 安全 默认 值 。 

在 开发 者 设计 和 实现 的 时 候 ， 虽 然 他 们 无 需 进 一 步 的 训练 就 可 以 透彻 地 理解 这 些 原则 ， 
但 是 安全 的 正确 性 将 会 是 项 目 初 具 规模 时 的 关键 属性 之 一 。 

训练 必须 是 有 效 的 和 容易 理解 的 。 通 常 ， 由 于 缺少 生产 力 和 机 会 成 本 ， 为 期 一 周 的 课程 
很 难 广泛 安排 。 沉 浸 式 的 方法 当然 有 好 处 ,但 如 果 不 能 很 快 地 应 用 于 手头 的 任务 ,任何 内 容 
都 可 能 会 迅速 丢失 。 相 反 ， 能 够 小 剂量 接受 然后 联系 实践 的 短片 段 训练 ， 可 能 会 带 来 更 好 的 
结果 。 我 们 发 现 一 种 非常 有 效 的 模式 ， 结 合 如 下 几 点 建立 基础 的 理解 和 技能 水 平 : 

。 高 级 应 用 程序 漏洞 介绍 

。 安 全 设计 和 编码 原则 

。 三 到 五 个 要 求 ， 易 于 理解 的 短期 课程 (最 多 为 20 分 钟 )， 演 示 适 用 于 开发 人 员 平台 和 语 

言 的 常见 漏洞 的 正确 修复 

一 旦 建立 了 基础 的 训练 后 ， 青 提供 常见 修复 方面 的 额外 训练 。 这 些 常 见 模式 的 培训 必须 
容易 理解 。 开 发 者 往往 很 珍惜 自己 的 时 间 。 高 度 集中 的 短期 课程 能 够 提供 软件 安全 方面 的 深 


O 引用 的 算法 不 是 特意 为 了 修复 XSS 漏洞 ， 选 择 它 是 因为 特殊 性 ， 而 不 是 因为 完整 性 。 
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入 训练。 用 这 种 方式 ， 开 发 者 可 能 遵循 他 们 自己 的 兴趣 。 如 果 他 们 必须 修复 一 个 特殊 的 错误 ， 
他 们 可 以 选择 接受 短期 的 集中 培训 。 或 者 ， 如 果 他 们 掌握 了 “安全 之 火 " ， 他 们 可 能 想 要 探讨 
诸如 加 密实 现 或 者 访问 控制 系统 等 更 深层 次 的 主题 。 任 何 训练 计划 应 该 提醒 工程 技术 人 员 ， 
安全 技能 是 适合 市 场 的 重要 技能 。 

没有 机 会 使 用 学 到 的 技能 ， 培 训 本 身 就 没 那么 有 效 了 。 当 然 ， 熟 能 生 巧 。 这 就 是 要 在 培 
训 课程 之 间 给 开发 者 时 间 以 应 用 新 技能 的 理由 。 自 然 节 奏 的 训练 后 ， 实 践 的 建立 应 该 结合 以 
下 两 点 。 

。30 ~ 60 分 钟 的 安全 编码 训练 。 

。 几 周 的 实际 应 用 。 

那些 成 为 专家 的 人 可 以 帮助 那些 不 具备 很 多 技能 的 人 。 更 进一步 ， 这 些 专家 成 为 高 级 代 
码 审查 人 ， 不 仅 能 够 在 人 工 代码 审查 中 发 现 缺 陷 ， 还 可 以 传播 正确 的 方法 和 算法 。 

经 过 一 个 健全 的 安全 编码 培训 计划 ， 可 以 实现 程序 的 彻底 调试 。 这 些 库 应 该 被 设计 成 能 
兼容 各 种 实现 的 通用 解决 方案 。 这 些 库 应 该 为 库 里 功能 的 正确 实现 提供 易于 实现 的 API。 这 
些 正确 的 库 可 以 包括 在 每 个 软件 项 目 中 ， 来 确保 安全 得 到 有 效 实施 。 并 且 ， 如 果 在 库 里 发 现 
了 一 个 错误 ， 这 个 错误 只 需要 在 一 处 修复 而 不 需要 在 多 处 不 同 的 实现 中 修复 。 

OWASP 的 企业 安全 API 是 审查 实现 的 一 个 例子 ， 它 能 解决 在 Web 应 用 程序 中 出 现 的 
各 种 安全 问题 。 例 如 ， 防 止 XSS， 应 用 中 使 用 的 所 有 输入 在 传人 应 用 之 前 用 白 名 单 的 方式 进 
行 验证 : 


在 使 用 前 ， 所 有 输入 必须 用 Validator.* 方法 进行 严格 的 白 名 单 验证 。 口 


确保 代码 足够 安全 的 关键 技术 在 于 正确 的 API 是 否 被 内 置 或 者 引用 。 创 建 和 使 用 审查 过 
的 库 将 会 确保 正确 的 实现 会 被 使 用 或 者 重用 。 这 也 避免 了 实现 错误 的 问题 草 延 到 每 个 独立 程 
序 员 的 实现 过 程 中 。 

另外 一 个 可 能 有 帮助 的 解决 方案 就 是 结对 编程 。Kent Beck 对 结对 编程 的 定义 如 下 : 


一 对 程序 员 在 一 起 编程 ， 他 们 不 仅 一 起 做 测试 用 例 ， 还 一 起 投身 到 系统 设计 中 
去 。 变 化 并 不 局 限于 任何 特定 的 区 域 。 结 对 编程 增加 了 系统 分 析 、 设 计 、 实 现 、 测 
试 的 价值 。 结 对 编程 无 处 不 在 地 增加 了 系统 所 需要 的 价值 。 四 


用 这 种 方式 ， 无 论 是 设计 还 是 实现 都 是 对 结对 编程 程序 员 技能 的 提高 。 

编写 安全 正确 的 代码 是 几 种 方法 协同 工作 的 产物 。 培 训 能 补充 实践 能 力 。 实 践 收获 专业 
知识 ， 这 些 专业 知识 可 以 用 于 审查 实现 ， 可 以 重用 于 把 错误 降 到 最 少 。 协 作 方 式 工作 构建 了 
团队 专业 知识 ， 在 编写 代码 的 过 程 中 能 够 捕捉 到 错误 。 然 而 ， 只 有 安全 是 不 够 的 ， 还 必须 验 
证 正确 性 。 


9.22 人工 代 码 审查 


由 于 计算 机 编程 语言 的 表达 特性 和 多 种 多 样 的 逻辑 处 理 问题 ， 聘 请 一 个 独立 、 熟 练 的 代 
码 审查 员 就 显得 非常 重要 ， 它 能 为 程序 员 提 供 一 个 安全 网 并 能 检查 代码 正确 性 。 人 工 代码 审 
查 能 轻易 发 现代 码 中 的 逻辑 错误 。 如 果 审 查 人 知道 代码 做 了 什么 事情 ， 却 没有 参与 到 代码 纺 
写 中 去 ， 他 就 能 经 常 发 现 错误 ， 特别 是 逻辑 错误 。 审 查 人 确定 能 检查 出 代码 所 遵循 的 标准 。 
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如 果 审 查 人 有 计算 机 安全 方面 的 专业 知识 ， 他 也 可 能 发 现 安全 缺陷 。 因 为 缺乏 安全 编码 方面 
的 专家 ， 所 以 可 能 有 必要 把 焦点 放 在 程序 逻辑 和 代码 风格 上 。 然 而 ， 如 果 对 每 个 开发 人 员 进 
行 基本 的 编程 防御 培训 ， 特 别 留意 输入 数据 ， 人 工 代 码 审查 至 少 可 以 发 现 令 人 震惊 的 输入 数 
据 验 证 错误 问题 ， 它 困扰 了 现在 的 很 多 软件 开发 。 但 在 任何 情况 下 ， 代 码 审查 不 是 万 能 的 。 
虽然 让 专家 人 工 审查 代码 是 可 能 的 ， 他 能 从 字面 上 让 你 写 的 代码 不 仅 安全 而 且 高 效 、 优 雅 、 
易于 维护 ， 但 是 这 都 是 非常 昂贵 的 。 很 少 有 这 样 的 “代码 大 师 ” 。 对 于 关键 代码 部 分 来 说 ， 
使 用 这 些 专 家 也 许 是 很 划算 的 ， 但 在 大 多 数 项 目 中 ， 对 于 大 多 数组 织 它 是 不 可 行 的 。 配 合 
多 种 不 同 的 办 法 是 可 行 的 ， 例 如 通过 针对 性 的 、 广 泛 的 、 手 工 的 和 自动 的 方法 来 保证 项 目 。 
让 这 些 互补 性 的 方法 最 大 化 的 方法 已 被 证 明 可 以 发 现 最 广泛 的 缺陷 ， 同 时 这 些 方法 也 是 可 
以 伸缩 的 。 

最 大 化 地 人 工 审查 代码 是 十 分 繁重 的 ， 却 容易 理解 。 典 型 的 代码 必须 围绕 关键 的 和 专 有 
的 业务 逻辑 模块 ， 对 大 多 数组 织 的 同行 审查 来 说 可 能 已 经 足够 了 。 人 工 同 行 代码 审查 是 在 代 
码 提交 构建 之 前 由 一 个 或 者 多 个 开发 者 同行 审查 代码 。 同 一 个 开发 团队 的 成 员 可 能 会 熟悉 代 
人 码 的 实现 目的 是 什么 ， 代 码 的 运行 环境 ， 项 目的 一 般 架 构 。 对 开发 人 员 来 说 ， 理 解 项 目 并 提 
出 建设 性 的 意见 并 不 困难 。 对 于 不 太 复 杂 的 代码 ， 像 可 以 调用 广泛 理解 的 API 的 例 程 ， 一 个 
审查 人 可 能 就 足够 了 。 对 于 更 复杂 的 代码 ， 可 能 需要 多 个 审查 人 。 事 实 上 ， 一 个 强健 的 同行 
审查 程序 的 隐形 好 处 就 是 ， 增 进 了 团队 成 员 之 间 的 相互 信任 。 此 外 ， 审 查 人 将 会 成 为 程序 员 
的 后 备 人 员 ， 这 样 就 没有 一 个 人 是 必 不 可 少 的 了 。 在 一 个 团队 里 ， 程 序 员 就 会 互相 信任 ， 以 
至 于 他 们 往往 会 要 求 对 他 们 的 代码 进行 多 次 审查 。 结 果 就 是 代码 比 团队 代码 审查 之 前 更 正确 、 
更 高 效 。 如 果 团 队 足 够 熟练 ， 同 行 审查 甚至 可 以 产生 关键 的 或 者 高 度 敏感 的 算法 。 

然而 ， 通常， 特别 是 在 一 个 快速 发 展 的 组 织 中 ， 可 能 在 团队 之 间 经 常 变动 或 者 定期 的 人 
员 流 动 ， 同 行 审查 在 这 种 组 织 下 将 不 足以 对 关键 代码 进行 审查 。 最 糟糕 的 情况 是 : 一 个 初级 
程序 员 向 另外 一 个 初级 程序 员 展 示 他 或 她 的 代码 ， 第 二 个 程序 员 说 :“ 你 的 代码 看 起 来 跟 我 的 
一 样 ， 通 过 。” 没有 经 验 的 程序 员 无 法 找到 很 多 复杂 的 错误 。 尽 管 如 此 ， 当 我 们 看 到 一 个 初级 
审查 人 向 一 个 非常 资深 的 开发 人 员 解 释 程序 的 时 候 ， 这 将 会 是 一 个 很 有 趣 的 代码 审查 过 程 。 
虽然 这 可 能 是 一 个 更 耗 时 的 方法 ， 但 是 培训 和 开发 效果 明显 。 代 码 审查 将 会 是 你 的 良师益友 。 

我 们 建议 : 关键 性 的 算法 、 复 杂 的 功能 、 安 全 模块 和 加 密 模块 实现 部 分 应 该 由 拥有 正确 
技巧 而 且 懂 得 可 能 引入 的 漏洞 的 人 来 审查 。 这 些 审查 人 员 通 常 是 团队 里 非常 资深 的 人 或 者 是 
团队 里 有 资格 的 人 。 他 应 该 对 预期 要 实现 的 功能 很 熟悉 ; 通常 ， 这 个 人 在 过 去 应 该 成 功 从 事 
过 同样 的 或 者 相似 的 功能 开发 。 


9.2.3 ”静态 分 析 


静态 代码 分 析 是 运行 一 个 自动 化 的 工具 的 过 程 ， 它 读 取 源 代码 或 者 源 代码 编译 后 产生 的 
目标 代码 。 静 态 代 码 分 析 工 具 通 过 预 处 理 和 错误 检测 功能 来 扫描 代码 正文 。 因 为 ， 正 如 已 经 
指出 的 那样 ， 计 算 机 语言 的 表达 能 力 就 是 我 们 所 知 的 计算 机 科学 世界 的 “重要 ”问题 。 毅 态 
分 析 ， 不 仅 要 了 解 语 言 的 合法 性 和 语义 ( 跟 编 译 器 的 工作 一 样 )， 还 必须 了 解 典 型 的 结构 和 这 
些 结构 下 产生 的 错误 与 误 用 。 此 外 ,静态 分 析 必 须 创建 一 个 包含 所 有 可 能 交互 的 图 ， 以 便于 
守 括 有 漏洞 的 交互 。 用 一 个 有 限 的 、 简 化 的 方式 来 描述 现代 代码 静态 分 析 技 术 就 是 : 编译 器 
可 以 发 现代 码 里 哪些 是 非法 的 ,或 者 哪些 是 被 禁用 的 。 建 立 在 合法 性 规则 上 的 静态 分 析 器 能 
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发 现 哪些 是 “不 建议 的 " 。 再 者 ， 如 果 这 个 功能 捆绑 在 一 个 工业 级 静态 分 析 器 上 ， 它 就 过 于 简 
单 了 。 

相对 于 SDL， 静 态 分 析 如 何 进行 并 不 特别 重要 。 更 重要 的 是 静态 分 析 发 现 的 各 种 错误 ， 
而 这 些 错误 会 被 忽略 。 对 于 编程 语言 来 说 ， 直 接 内 存 操作 、 分 配 、 回 收 都 是 必需 的 ， 已 经 证 
明 静 态 分 析 非 常 善于 识别 出 代码 中 内 存 容易 误 用 的 地 方 。 例 如 ， 当 复制 一 段 数 据 到 基于 栈 的 
缓冲 区 之 前 不 检查 副本 ， 或 者 没有 把 副本 的 长 度 限 制 在 缓冲 区 长 度 之 内 ，C/C++ 中 常见 的 栈 
溢出 问题 会 发 生 。 这 是 一 个 典型 的 安全 漏洞 。 如 果 外 部 输入 可 以 进入 缓冲 区 ( 即 通过 用 户 输 
和 人 的 方式 )， 栈 溢出 漏洞 可 以 用 来 执行 攻击 者 输入 的 代码 。 

大 多 数 静 态 分 析 工 具 很 容易 通过 检测 错误 的 内 存 操作 中 的 副本 的 长 度 来 确定 错误 。 一 些 
工具 甚至 能 通过 传递 给 副本 的 输入 方式 来 确定 严重 程度 。 这 特别 适用 于 在 错误 分 析 ” 前 构建 
执行 流 图 的 静态 分 析 方 法 。 或 者 相反 ， 这 种 分 析 方 法 可 能 会 因为 没有 发 现 用 户 输入 途径 而 
低估 问题 的 严重 性 。 在 后 一 种 情况 下 ， 动 态 分 析 永远 不 会 发 现 这 个 问题 ， 因 为 没有 输入 拷 
贝 到 缓冲 区 。 在 前 一 种 情况 下 ， 动 态 分 析 可 能 会 也 可 能 不 会 发 现 这 个 问题 ， 这 取决 于 用 户 
尝试 的 输入 。 

由 于 静态 分 析 器 可 以 查看 所 有 的 代码 ， 不 仅仅 是 处 理 输入 数据 的 那 部 分 代码 ， 因 此 我 们 
认为 静态 分 析 处 于 接近 开发 人 员 的 程度 。 一 些 工 业 级 的 静态 分 析 程序 能 构建 一 个 贯穿 全 部 代 
码 的 代码 图 。 这 些 分 析 工 具 建 立 一 个 整体 视图 提供 给 分 析 人 员 ， 这 个 视图 不 仅 贯穿 了 整个 代 
人 码 ， 而 且 包 含 模块 间 的 关系 、API 使 用 情况 、 数 据 暴露 和 隐藏 ， 以 及 其 他 微妙 的 编程 模式 。 
有 了 这 个 代码 分 析 图 ， 当 发 现 一 个 错误 的 时 候 ， 分 析 者 可 以 通过 代码 之 间 的 关系 所 提供 的 更 
多 信息 确定 问题 的 严重 性 。 当 然 ， 由 于 静态 分 析 器 分 析 源 代码 ， 因 此 它 可 以 精确 地 指出 潜在 
的 错误 所 在 的 代码 行 。 这 节约 了 开发 者 修复 缺陷 所 需要 的 大 量 时 间 。 

除了 可 执行 视图 之 外 ， 整 体 的 缺点 是 可 能 有 更 少 的 潜在 错误 被 报告 出 来 ， 并 且 不 等 同 于 
让 这 些 错误 完全 暴露 。 事 实 上 ， 那 些 未 暴露 的 错误 因为 运行 时 的 一 些 限 制 ， 当 它们 暴露 出 来 
的 时 候 ， 危 害 不 是 特别 显著 。 也 就 是 说 ， 并 不 是 所 有 潜在 的 缓冲 区 溢出 漏洞 有 同样 的 危害 。 
典型 的 例子 是 缓冲 区 洪 出 ， 它 需要 非常 高 的 特权 才能 得 以 利用 。 已 经 拿 到 所 需 权限 的 攻击 者 
没有 必要 进行 一 个 额外 的 攻击 ， 来 达到 运行 攻击 者 任意 代码 的 目的 。 在 大 多 数 现代 操作 系统 
中 ， 在 这 种 特权 级 别 下 ， 攻 击 者 可 以 执行 他 想 要 执行 的 任何 代码 而 不 需要 额外 地 利用 其 他 漏 
洞 。 换 句 话 说， 这 样 的 缓冲 器 溢出 ， 没 有 潜在 的 攻击 价值 。 这 种 溢出 攻击 完全 是 理论 上 的 。 
不 过 ， 因 为 静态 分 析 器 不 执行 程序 ， 并 且 没 有 用 户 权限 的 概念 ， 所 以 分 析 器 不 能 把 高 权限 的 
任何 代码 执行 和 低 权 限 的 任意 代码 执行 区 分 开 。 这 将 需要 开发 者 的 分 析 来 证 明 如 下 这 种 报告 
的 缺陷 : 


充裕 的 待 查 项 所 带 来 的 困 容 ， 在 于 现代 商业 静态 分 析 工 具 一 般 能 够 找 出 更 多 错 
误 ， 而 单 任用 户 的 才智 或 者 意愿 ， 则 是 无 法 与 之 相 比 的 。 
解决 充裕 的 待 查 项 所 带 来 的 困 窒 的 一 个 办 法 是 开始 的 时 候 就 采用 一 个 容易 理解 、 高 可 信 
度 的 分 析 方 式 。“ 高 可 信和 度 ” 是 指 :“ 只 报告 那些 具有 极 高 可 信和 度 而 且 事实 上 真 的 存在 且 必 须 


日 ”调用 图 的 优点 是 ， 通 过 代码 可 以 检查 每 一 种 可 能 的 路 径 。 调 用 图 的 缺点 是 , 许多 可 能 的 路 径 中 的 枚 举 可 能 
永远 不 会 被 执行 : 静态 分 析 有 有 限 的 途径 ， 以 确定 哪些 路 径 是 至 关 重 要 的 ， 哪 些 是 实际 上 暴露 在 攻击 面 上 
的 。 分 析 器 采用 “猜测 ”方法 。 
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修复 的 缺陷 。” 这 意味 着 你 把 “攻击 性 ”或 类 似 配 置 调 低 到 一 个 低 的 设 定 。 这 些 配 置 只 检测 到 
静态 分 析 器 厂商 所 相信 的 90% 或 者 更 确信 的 结果 ， 也 就 是 说 ， 有 10% 或 更 少 的 误 报 。 显 然 ， 
这 意味 着 某 些 缺陷 会 错过 。 俗 话说 : 在 攻击 面前 ， 任 何 缺 陷 都 意味 着 攻击 者 的 胜利 。 很 难 实 
现 100% 的 缺陷 检测 ， 甚 至 前 几 个 版 本 80% 都 有 些 困 难 。 在 一 个 程序 的 早期 开发 阶段 减少 攻 
击 面 或 者 漏洞 到 20% 以 下 对 于 构建 安全 程序 (一 个 SDL 程序 ) 是 很 重要 的 。 


推行 用 静态 分 析 来 查找 bug， 行 政 上 的 坚持 有 时 是 一 种 保障 ， 有 时 则 不 过 起 着 拖 
后 腿 的 作用 ， 但 有 时 又 涉及 更 深层 的 因素 以 及 文化 问题 : 要 避免 各 种 能 够 被 静态 分 
析 发 现 的 bug， 主 要 取决 于 纪律 性 ， 有 时 这 一 点 在 程序 员 中 间 并 不 受 欢 迎 。 修 复 bug 
并 查验 团队 现 有 的 工作 成 果 ， 是 需要 适应 力 和 判断 力 的 。 尝 试 设计 一 套 简 单 的 规则 
和 指标 来 规范 团队 ， 在 我 看 来 ， 客 气 地 讲 ， 是 不 成 熟 的 做 法 ， 枣 怕 还 是 不 可 能 的 。 ml 


从 较 低 的 目标 开始 ， 来 达到 高 可 信 度 的 结果 ， 这 样 将 被 更 快 地 接受 ， 因 为 工程 团队 能 迅 
速 从 静态 分 析 工 具 的 结果 获得 信心 。 我 们 建议 工程 师 应 该 像 相信 他 们 的 编译 工具 一 样 相信 更 
态 分 析 器 。 从 小 的 目标 开始 并 关注 高 可 信和 度 的 目标 可 能 会 获得 这 样 的 信任 。 一 旦 获得 信任 ， 
团队 就 可 以 开始 尝试 更 多 的 检查 ， 更 广泛 的 缺陷 分 析 和 更 积极 的 扫描 。 不 过 ， 根 据 我 们 的 经 
验 ， 工 程 团 队 信心 和 信任 的 关键 在 于 静态 分 析 程 序 的 成 功 。 

换 句 话说 ， 第 一 次 使 用 的 时 候 ， 简 单 地 使 用 默认 或 者 一 应 俱全 的 分 析 方式 是 典型 的 错误 。 
团队 将 受到 难以 控制 的 缺陷 总 数 的 龙 炸 〈 有 时 一 次 静态 分 析 会 有 成 千 上 万 条 结果 )。 缺 陷 跟踪 
系统 将 失效 。 这 些 友 炸 可 能 会 阻碍 静态 分 析 工 具 的 使 用 。 工 程 师 将 会 对 这 个 可 以 提供 有 用 和 
可 靠 结果 的 工具 失去 信心 。 

相反 ， 建 议 开始 的 时 候 ， 使 用 规模 小 的 、 简 洁 的 和 可 控 的 分 析 。 在 这 些 分 析 成 功 的 基础 
上 ， 成 功 地 构建 模板 、 配 置 和 测试 套件 ， 这 样 团 队 可 以 轻松 、 快 速 地 采用 它们 。 让 成 功 的 团 
队 协 助 那些 刚 起 步 并 且 可 能 举步维艰 的 团队 。 让 那些 减少 了 缺陷 的 团队 给 那些 刚刚 起 步 做 更 
态 分 析 的 团队 布道 。 我 们 已 经 在 不 同 的 组 织 多 次 成 功 地 使 用 这 种 方法 。 

一 个 关键 是 将 静态 分 析 放 在 正确 的 开发 位 置 。 像 编译 器 一 样 ， 源 代码 必须 成 功 通过 编译 
器 才能 产生 目标 代码 ， 源 代码 在 构建 前 必须 通过 静态 分 析 ， 没 有 被 不 正确 地 使 用 ， 并 且 不 存 
在 已 公布 的 漏洞 (如 : 链接 到 一 个 库 、 可 执行 文件 或 其 他 完全 链接 和 可 执行 的 对 象 )。 静 态 分 
析 可 以 被 认为 是 签 人 和 构建 过 程 的 一 部 分 ; 静态 分 析 是 鉴定 代码 是 否 可 构建 过 程 中 强制 性 的 
i, 

如 果 分 析 工 具 支 持 开 发 人 员 在 开发 过 程 中 使 用 ， 那 么 工程 师 们 就 可 以 对 他 们 写 的 代码 进 
行 额外 检查 。 程 序 员 将 会 学 习 和 信任 这 个 工具 。 他 们 还 将 学 习 安全 知识 和 安全 编码 ; 代码 安 
全 问题 会 在 编码 期 间 指出 。 不 过 ， 我 们 相信 ， 虽 然 在 编码 期 间 这 么 做 能 带 来 明显 的 好 处 ， 但 
是 代码 在 构建 到 产品 或 发 布 前 仍然 应 该 再 次 进行 静态 分 析 。 这 么 做 可 以 让 程序 员 有 一 个 优势 。 
让 他 们 尽 可 能 多 地 交付 正确 的 代码 。 在 一 些 关 键 点 验证 代码 的 正确 性 ， 保 证 代码 必须 通过 。 
如 果 代 码 是 清晰 的 ， 那 么 通过 静态 分 析 不 会 发 现 多 少 问题 ， 商 业 静 态 分 析 器 一 旦 配置 和 调整 
正确 ， 就 可 以 很 快 地 分 析 一 遍 。 然 而 ， 是 否 有 漏洞 才 是 最 重要 的 。 这 些 铁定 不 能 通过 检查 的 
代码 可 能 变 成 可 执行 目标 文件 ， 然 后 有 可 能 进入 生产 使 用 中 。 信 任 这 些 代 码 ， 但 要 仔细 检查 。 
建议 让 程序 员 在 完全 提交 并 可 能 发 布 代码 之 前 ， 检 查 自 己 工 作 的 同时 也 验证 实现 部 分 。 

在 每 一 个 开发 生命 周期 的 中 心 ， 为 了 提交 源 代 码 ， 有 三 个 相辅相成 的 过 程 。 开 发 人 员 需 
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要 进行 培训 ， 在 规定 下 写 出 正确 的 、 无 差错 的 、 无 漏洞 的 代码 。 这 种 做 法 和 规定 要 求 培训 、 
实践 和 空间 ， 其 间 可 以 让 开发 人 员 犯 错 ， 尝 试 新 事物 ， 学 习 ， 并 在 学 习 过 程 中 相对 比较 自由 。 
这 需要 精锐 的 管理 ， 来 管理 那些 能 干 的 、 有 创造 力 的 人 人， 这些 人 在 实践 的 同时 练 就 他 们 的 技 
艺 。 编 写 代码 后 ， 安 全 构建 过 程 中 的 下 一 个 核心 步骤 是 人 工 代码 审查 。 像 安全 编程 一 样 ， 人 
工 代 码 审查 不 仅 是 规定 ， 而 且 是 实践 。 人 工 代码 审查 也 是 学 习 和 掌握 代码 的 机 会 ; 人 工 代码 
审查 的 另 一 个 作用 是 编写 正确 的 代码 。 出 色 的 代码 审查 员 会 成 为 出 色 的 程序 员 。 出 色 的 程序 
员 会 成 为 出 色 的 代码 审查 员 。 这 两 个 过 程 一 起 携手 ， 提 供 更 清晰 的 代码 和 更 有 经 验 的 编程 人 
员 。 最 后 ， 开 发 过 程 中 的 中 心地 带 是 静态 分 析 ， 它 检查 和 补充 代码 审查 。 静 态 分 析 与 人 工 审 
查 相辅相成 ， 静 态 分 析 是 一 种 自动 化 过 程 ， 在 整体 上 看 它 在 同一 时 间 跨 了 多 个 维度 。 不 管 是 
瀑布 模型 ， 还 是 敏捷 模型 ， 安 全 编码 、 代 码 审 查 和 静态 分 析 应 该 在 任何 安全 软件 开发 声明 周 
期 中 处 于 中 心地 位 。 
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七 个 确定 性 问题 


我 们 所 工作 过 的 每 一 个 组 织 经 常 反复 地 、 不 断 地 从 开发 人 员 和 工程 师 团队 那里 发 现 ， 增 
加 安全 性 将 是 交付 产品 的 另 一 个 障碍 。 需 要 注意 的 是 ， 大 多 数 软件 企业 都 奖励 至 少 在 最 短 时 
间 和 预算 内 交付 软件 功能 的 行为 。 通 常情 况 下 ， 当 一 个 安全 软件 开发 的 实践 开始 或 者 改善 的 
时 候 ， 及 时 交付 的 焦点 就 会 被 符 和 到 该 过 程 的 时 间 点 中 。 开 发 团队 自然 会 想 知道 ， 在 他 们 已 
经 很 繁忙 的 时 间 表 ， 他 们 如 何 成 功 完 成 一 系列 的 额外 任务 。 

显然 ， 某 个 人 可 以 认为 ， 开 发 人 员 应 该 已 经 将 安全 集成 到 开发 实践 中 去 。 有 趣 的 是 ， 很 
多 时 候 ， 开 发 团队 会 回应 这 个 人 事实 上 ， 他 们 确实 这 样 做 了 : 生产 “安全 ”软件 。 在 这 里 ， 
“安全 ”是 一 个 有 效 的 术语 ,“ 安 全 ”没有 精确 的 含义 ， 其 含义 太 丰 富 了 。 

深 挖 一 点 ， 我 们 就 知道 软件 的 验证 机 制 在 构建 和 测试 期 间 已 经 被 仔细 思考 过 了 。 或 者 ， 
也 许 ， 在 网 络 上 的 所 有 通信 可 以 放置 在 一 个 加 密 通道 (通常 是 ，TLS) 中 。 极 少 情况 下 ， 在 实 
例 化 一 个 强大 的 SDL 程序 之 前 ,需要 做 团队 整体 回应 ,认识 到 任务 的 范围 必须 得 到 关注 ， 从 
设计 到 测试 。 这 正 是 使 用 SDL 所 要 解决 的 问题 : 整体 ， 内 置 安全 ， 面 面 俱 到 ， 从 头 到 尾 ， 端 
到 端 。 

因为 安全 的 任务 通常 表示 为 一 个 任务 矩阵 ， 所 以 团队 可 能 会 看 到 大 量 的 任务 ， 从 而 变 得 
不 知 所 措 。 一 而 再 再 而 三 地 ， 我 们 听见 团队 领导 和 开发 经 理 问 :“ 我 要 做 什么 ? ”这 个 问题 的 
答案 真 的 应 该 取决 于 手 里 项 目的 类 型 ， 安 全 架构 师 可 能 会 回答 :“ 咽 ， 那 要 看 情况 了 。” 这 个 
答案 不 会 让 那些 希望 能 够 及 时 有 序 交 付 软 件 的 人 满意 ， 像 产品 经 理 、 项 目 经 理 、 技 术 牛 人 、 
开发 经 理 。 

然后 ， 安 全 人 员 会 问 :“ 我 的 项 目的 最 低 要 求 是 什么 ?” 找 一 个 最 小 的 任务 集 肯 定 是 相关 
的 而 且 和 有 价值 的 问题 。 答 案 是 :“ 咽 ,这 要 看 情况 而 定 。” 再 次 不 满意 。 我 们 意识 到 安全 架 
构 师 作为 唯一 的 仲裁 者 ， 他 所 必须 做 的 事 常常 使 整个 开发 过 程 变 得 很 神秘 。 计 划 变 得 更 加 困 
难 。 再 次 ， 安 全 被 视 为 是 阻碍 和 障碍 ， 安 全 被 视 为 不 是 一 个 必需 的 可 交付 成 果 ， 不 必 作 为 生 
产 软件 的 一 部 分 。 

经 过 多 年 来 我 们 在 不 同 的 开发 小 组 内 采用 多 种 企业 内 部 组 织 内 所 收集 的 大 量 试验 和 错误 ， 
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我 们 固定 了 项 目 经 理 、 架 构 师 、 技 术 和 工程 领导 以 及 产品 经 理 很 容易 回答 的 一 套 问题 。 这 些 
人 通常 能 理解 评估 计划 的 架构 和 设计 的 变化 ， 例 如 : 是 否 要 有 增加 敏感 数据 和 第 三 方 代码 ， 
接口 类 型 的 添加 或 更 改 ， 以 及 预期 的 部 署 模型 。 这 些 维 度 中 每 一 个 的 变化 都 导致 影响 安全 活 
动 必须 执行 ， 以 生成 一 组 正确 的 安全 特性 和 需求 。 其 中 的 一 些 维度 确定 需要 什么 类 型 的 安全 
测试 。 合 起 来 ， 这 些 问 题 的 答案 将 所 需 的 SDL 安全 任务 流 映 射 到 单个 项 目 环境 中 。 

我 们 不 推荐 一 个 “全 做 ”的 方法 。 在 没有 彻底 分 析 安 全 架构 、 没 有 提供 额外 的 安全 价值 、 
没有 任何 实质 性 的 改变 之 前 增加 威胁 建 模 。 另 外 ， 需 要 没有 价值 时 不 会 产生 信任 的 安全 的 
判断 过 程 的 这 一 步 。 工 程 师 们 经 常会 发 现 没 有 价值 的 活动 (他 们 往往 是 聪明 的 、 有 创造 力 的 
人 )。 没 有 人 喜欢 在 无 用 的 管理 机 梅 浪费 时 间 。 大 多 数 工程 师 很 快 就 会 意识 到 当 没 有 Web 服 
务 右 的 时 候 ， 动 态 Web 测试 没有 价值 。 相 反 ， 让 团队 锻炼 自己 的 技能 ， 当 合适 的 时 候 ， 让 他 
们 回答 一 些 基 本 问题 ， 合 理 地 添加 活动 。 

这 些 问题 可 以 问 在 前 面 ， 在 开发 生命 周期 的 开始 ， 或 者 在 适当 的 阶段 。 时 间 是 至 关 重要 
的 。 回 答 SDL 中 每 个 错过 了 恰当 时 间 的 相关 联 活动 问题 会 导致 延迟 ， 所 需要 的 安全 任务 将 被 
错过 。 只 要 在 需要 结果 之 前 回答 每 个 问题 ， 安 全 结果 将 是 相似 的 。 体 系 结构 问题 可 以 在 任何 
架构 开始 之 前 处 理 ， 设 计 问题 在 设计 之 前 处 理 ， 测 试 结 果 需 要 聚焦 于 测试 计划 ， 等 等 ， 这 些 
都 贯穿 了 整个 生命 周期 。 然 而 ， 在 一 开始 确定 那些 负责 的 预算 和 资源 分 配 之 前 ， 需 要 回答 这 
七 个 问题 ， 以 收集 需要 在 开发 过 程 中 要 完成 哪些 任务 的 重要 信息 。 

1. 提出 的 变化 是 什么 ? (以 下 答案 是 互相 排斥 的 ; 选择 只 有 一 个 。) 

a. 架构 将 是 全 新 的 或 者 是 一 个 重大 的 重新 设计 。 

. 架构 有 望 改变 。 

安全 特性 或 功能 将 添加 到 设计 中 。 

. 如 果 必 要 ， 既 不 改变 架构 也 不 增加 了 安全 功能 ( 即 ， 以 上 都 不 是 )。 
. 会 添加 一 些 第 三 方 软件 吗 ? 是 或 和 否 

. 会 添加 一 些 客户 数据 (个 人 识别 信息 PI) ?是 或 否 

4. 这 个 组 织 或 其 合作 伙伴 操作 过 其 他 系统 吗 ? 是 或 否 

5. 是 否 包含 Web 服务 器 ? 是 或 否 

6. 程序 会 有 其 他 的 输入 吗 ?( 即 ， 非 Web 输入 、 配 置 文件 、 网 络 监听 器 、 命 令 行 接口 ， 等 
等 )。 是 或 否 

7. 这 是 一 个 主要 版 本 吗 ? 

尽管 是 在 这 个 过 程 的 早期 ， 但 是 这 一 概念 已 开始 成 形 ， 重 要 的 问题 是 :“ 有 什么 是 新 的 ?” 
也 就 是 说 ， 在 这 个 项 目 里 ， 通 过 努力 ， 能 找 出 多 少 改变 。 这 个 问题 应 在 架构 层面 问 ， 有 四 个 
可 能 的 答案 : 

1. 一 切 都 是 新 的 。 这 是 一 个 新 建 项 目 或 重大 的 重新 设计 。 

2. 体系 架构 将 发 生 巨 大 的 转变 。 

3. 安全 特性 将 添加 到 体系 结构 或 设计 中 。 

4. 以 上 都 不 是 。 

提出 什么 修改 意见 ? 

当 一 切 如 新 时 ， 有 一 些 预先 架构 的 活动 ， 可 以 帮助 确定 该 组 的 需求 和 特点 ， 这 些 活动 将 
满足 该 软件 的 使 用 目的 和 部 署 的 安全 挑战 。 图 9-4 显示 了 全 新 的 项 目 任务 流 ， 涉 及 重大 的 重 
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新 设计 ， 还 有 在 系统 中 从 未 出 现 过 的 安全 审查 。 到 目前 为 止 ， 拥 有 一 套 完 整 的 需求 ， 已 经 被 
证 明 能 够 提供 更 具 包容 性 和 有 效 性 的 架构 。 完 整 的 需求 必须 是 安全 的 。 目 标 是 “内 置 安全 ” 
不 要 事后 处 理 。 如 果 所 需 的 功能 不 包括 在 体系 结构 要 求 之 内 ， 它 们 很 有 可 能 不 会 建立 。 这 迫 
使 部 署 团队 用 临时 的 、 不 标准 的 实现 来 构建 涵盖 运行 系统 或 者 基础 设置 的 保护 措施 来 弥补 缺 
失 的 安全 特性 。 
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图 9-4” 当 新 建 或 重新 设计 项 目 时 的 架构 任务 流 


当 所 有 或 几乎 一 切 都 是 新 的 并 且 没 有 现成 的 时 ， 架 构 师 必须 考虑 一 下 遗留 体系 结构 或 设 
计 。 这 有 机 会 详细 考虑 当前 的 威胁 和 它们 的 攻击 ， 但 软件 也 必须 防止 自己 受到 未 来 的 可 能 攻 
击 。 在 早期 ， 这 种 软件 重用 思想 在 世界 上 是 罕见 的 。 把 时 间 和 安全 系统 所 需 作为 一 个 整体 具 
有 一 个 很 大 的 优势 。 软 件 安全 策略 最 好 在 做 出 开发 决定 前 完成 ， 否 则 这 将 会 使 安全 代码 设计 
完全 被 排除 在 外 或 者 很 难 实现 。 

如 果 架 构 是 变化 的 ， 那 么 该 过 程 在 开始 就 应 该 进行 架构 评估 和 威胁 建 模 。 图 9-5 描述 了 
任务 流 。 这 些 变化 必须 鉴于 现 有 的 体系 结构 进行 检查 ， 以 检查 出 任何 额外 的 安全 要 求 。 这 里 
的 假设 是 ， 对 现 有 的 架构 进行 了 评估 ， 并 建立 了 威胁 模型 ， 以 确保 适当 的 安全 需求 被 内 置 在 
设计 之 中 。 在 这 种 情况 下 ， 如 果 从 未 有 过 架构 评估 及 威胁 模型 ， 那 么 体系 结构 应 被 视 为 新 建 


项 目 。 
架构 评估 mp | won | Er 加 设计 审查 | 本 | 济 斌 计划 


图 9-5” 当 架构 改变 时 的 架构 任务 流 


即使 没有 增加 或 改变 现 有 的 架构 ， 增 加 了 存在 安全 隐患 的 任何 特性 都 表明 有 必要 重新 进 
行 设计 工作 。 该 设计 使 得 架构 可 重建 。 程 序 员 根据 设计 工作 。 因 此 ， 重 要 的 是 ,任何 安 全 需 
求 或 功能 设计 必须 完全 正确 。 安 全 专业 知识 是 至 关 重 要 的 ; 设计 审查 的 目的 是 为 了 确保 适当 
的 安全 专业 知识 运用 到 设计 中 。 图 9-6 显示 了 这 两 个 设计 相关 的 SDL 任务 流 。 

像 任何 其 他 特性 或 功能 一 样 ， 在 测试 计划 中 ， 每 一 个 安全 功能 必须 进行 彻底 的 正确 性 测 
试 。 创建 测试 计划 是 设计 工作 的 一 部 分 。 测 试 计划 是 设计 的 神器 。 


设计 评审 | 加 | 测试 计划 


图 9-6 当 设计 安全 特征 时 的 设计 任务 流 


“什么 是 新 的 ?” 这 个 问题 的 答案 是 一 个 列表 性 的 选择 。 有 且 只 有 一 个 选择 。 这 些 问 题 的 
答案 不 是 互 斥 的 。 相 反 ， 第 二 个 选择 ,“ 架 构 的 变化 "， 是 第 一 个 的 子 集 ;“ 新 建 项 目 ” 意 味 着 
该 体系 结构 将 发 生变 化 。 答 案 ,“ 安 全 特性 "， 独 立 于 前 两 者 。“ 安 全 功能 ”是 为 了 赶 上 该 项 目 
在 设计 时 必须 考虑 的 变化 。 如 果 架 构 是 正在 变化 的 ， 它 可 以 推定 该 设计 也 将 改变 。 

剩 下 的 问题 的 答案 是 “是 / 否 "， 二 选 一 。 
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任何 第 三 方 软件 会 增加 吗 ? 

添加 第 三 方 软件 产生 了 两 个 挑战 。 

1. 额外 的 软件 可 能 有 安全 漏洞 ， 然 后 成 为 最 终 成 品 的 一 部 分 。 一 般 来 说 ， 对 于 商业 性 质 
的 软件 ， 开 发 团队 没有 软件 的 源 代码 。 一 个 组 织 将 完全 依赖 于 第 三 方 来 修复 漏洞 。 或 者 ， 如 
果 软 件 是 开源 的 ， 开 发 团队 选择 修复 安全 缺陷 时 可 能 会 有 法 律 和 资金 问题 。 根 据 许多 许可 证 ， 
修复 缺陷 后 必须 在 开源 社区 回馈 给 大 家 使 用 。 这 在 商业 上 可 能 是 不 可 行 的 。 

2. 是 否 修复 第 三 方 软件 的 缺陷 是 关系 到 要 添加 的 第 三 方 软件 的 许可 证 问题 ， 这 是 一 个 难 
题 。 要 包含 这 些 功 能 ， 不 同 的 开源 和 免费 许可 证 在 一 个 商业 组 织 什么 能 做 、 什 么 不 能 做 的 限 
制 方面 差距 很 大 。 你 售卖 产品 的 能 为 可 能 会 受到 限制 。 或 者 专用 知识 产权 可 能 不 得 不 暴露 出 
来 。 基 于 这 些 考 虑 ， 因 此 我 们 认为 在 使 用 第 三 方 软件 之 前 ， 咨 询 熟悉 软件 许可 证 的 专家 GH 
常 是 法 律 部 门 的 人 ) 是 必需 的 。 软 件 许可 专家 将 彻底 审查 许可 证 的 细节 。 

肯定 地 回答 这 个 问题 对 于 所 和 需 的 任务 增加 了 一 个 法 律 许可 审查 。 它 可 能 还 需要 需要 监控 
第 三 方 软件 的 安全 补丁 (只 要 包含 第 三 方 软件 )。 

第 三 方 SDL 的 组 任务 ， 以 及 这 些 任务 的 线性 流 ， 显 示 在 图 9-7。 


图 9-7 第 三 方 和 开源 任务 流 





任何 客户 数据 (个 人 身份 信息 ) 会 增加 吗 ? 

如 果 你 的 软件 将 面临 隐私 挑战 和 法 律 法 规 ， 就 必须 确定 是 否 个 人 身份 信息 将 由 正在 开发 
的 应 用 程序 处 理 。 根 据 组 织 的 不 同 ， 软 件 可 能 要 负责 客户 信息 的 安全 ， 并 满足 法 律 规定 的 隐 
私 规范 。 可 能 存在 一 个 专门 的 团队 致力 于 隐私 保护 ， 或 者 作为 法 律 的 一 部 分 ， 或 者 作为 其 他 
组 织 的 一 部 分 。 无 论 团 队 向 谁 负责 ， 这 些 都 需要 数据 保护 审查 。 因 此 这 个 问题 ， 没 有 专业 隐 
私 方面 的 知识 ,“ 你 添加 客户 数据 吗 ? ”不 是 一 个 容易 回答 的 问题 。 

我 们 回答 这 个 问题 的 措辞 是 “添加 了 客户 数据 *”， 因 为 ， 根 据 不 同 的 定义 ,个 人 身份 信息 
的 定义 差别 也 很 大 。 这 些 组 织 受到 多 个 司法 法 规 的 管辖 ， 必 须 确定 它们 将 如 何 满足 事实 上 法 
规 可 能 存在 的 冲突 。 一 般 情 况 下 ， 做 出 这 些 决定 需要 隐私 方面 的 法 律 知 识 。 大 多 数 开 发 团队 
没有 这 方面 的 法 律 知 识 ， 无 法 理解 各 种 各 样 关于 个 人 身份 信息 的 法 律 法 规 ， 无 法 在 程序 中 遵 
守 各 种 规定 。 然 而 ， 我 们 发 现 ， 开 发 团队 很 容易 了 解 应 用 程序 是 否 处 理 了 客户 数据 。 根 据 开 
发 团队 的 专业 知识 ， 你 可 能 想 让 适当 的 人 选 或 隐私 专家 决定 是 否 有 隐私 问题 要 回答 。 简 单 地 
标记 客户 数据 ， 至 少 保证 团队 正确 地 处 理 隐 私 问题 。 

精心 设计 和 精心 实施 数据 安全 保护 是 信息 安全 的 目的 之 一 。 然 而 ， 应 该 指出 的 是 ， 隐 私 
不 是 客户 数据 安全 性 的 唯一 标准 (和 法 律 标准 )。 隐 私 也 可 能 包括 政策 、 展 示 、 同 意 ， 限 制 地 
域 运输 和 储存 数据 ， 以 及 其 他 与 安全 设计 和 实现 相关 的 标准 。 因 此 ， 安 全 性 不 等 于 隐私 。 另 
一 方面 ， 能 够 遵守 一 些 隐 私法 和 期 望 ， 当 然 需要 足够 的 安 人 全。 而且， 当然 ， 数 字 安 全 的 许多 
方面 都 是 独立 的 私密 领域 。 

该 组 织 或 者 任何 合作 活动 会 主持 任何 系统 吗 ? 

系统 的 部 署 模型 和 执行 环境 不 仅 影响 需要 的 安全 特性 和 控制 ， 而 且 在 更 高 层次 的 抽象 中 ， 
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这 些 安全 保护 层 的 控制 和 特色 将 会 被 过 滤 掉 。 不 是 每 一 个 系统 都 需要 所 有 的 控制 。 那 么 如 何 
选择 呢 ? : 
软件 用 来 由 生产 商 以 外 的 其 他 人 进行 部 署 ， 例如， 由 客户 来 部 署 ， 他 必须 有 足够 的 能 力 
从 客户 的 实际 环境 来 部 署 程序 ， 以 满足 客户 的 安全 状况 。 安 全 的 目标 是 授权 给 客户 ， 同 时 不 
降低 客户 环境 的 安全 状况 。 

另 一 方面 ， 软 件 将 在 可 感知 的 边界 中 托管 ， 这 些 边界 承载 一 个 组 织 中 根本 不 同 的 安全 责 
任 。 我 们 使 用 术语 “可 感知 边界 ”， 因 为 客户 、 媒 体 和 公众 影响 力 往 往 不 能 区 分 “合作 伙伴 ” 
和 组 织 之 间 的 不 同 。 在 一 次 成 功 的 攻击 面前 ， 最 大 的 或 最 知名 的 实体 或 品牌 将 承担 失败 的 责 
IE, 无 论 到 底 与 失败 之 间 有 没有 关系 。 鉴 于 这 方面 的 认 知 ， 我 们 建议 采取 负责 任 的 开阔 视野 。 
当然 ， 每 个 组 织 必须 确定 在 其 可 接受 的 范围 为 事件 负责 。 

系统 由 一 个 已 知 的 和 可 控 的 基础 设施 托管 ， 并 继承 了 基础 设施 的 安全 特征 。 因 此 ， 系 统 
将 会 被 那些 假设 系统 不 可 能 部 署 在 组 织 外 部 的 组 织 部 署 ， 这 在 组 织 边界 之 外 ， 在 第 三 方 的 前 
提 下 。 可 以 假设 在 哪些 安全 功能 将 内 置 于 待 部 署 系统 上 的 基础 设施 中 。 的 确 ， 不 好 的 消息 是 ， 
本 地 部 署 的 系统 在 一 个 已 知 的 基础 设施 下 会 存在 一 些 缺 陷 。 也 就 是 说 ， 组 织 上 托管 的 系统 继 
承 了 其 所 部 署 在 的 基础 设施 上 的 安全 状况 。 图 9-8 表示 一 组 相关 的 任务 部 署 到 一 个 托管 的 基 


础 设施 上 。 
基础 设施 基础 设施 扫描 应 用 和 
[a [mp See" |= [Et 


图 9-8 托管 系统 的 任务 流 


托管 系统 还 必须 满足 所 有 当地 的 政策 和 标准 。 这 使 得 配置 、 硬 化 和 调 优 更 具体 。 因 为 软 
件 要 被 其 他 人 部 署 ， 所 以 设计 成 能 应 对 未 知 的 安全 需求 就 显得 很 重要 。 在 托管 软件 的 情况 下 ， 
这 个 需求 通常 是 很 明显 的 ; 这 些 需求 是 可 以 预想 、 设 计 和 预 构建 的 。 

为 了 理解 安全 需要 准备 什么 以 及 需要 减少 什么 缺陷 ， 在 需求 收集 和 设计 架构 期 间 重 要 的 
是 要 问 :“ 组 织 上 托管 ?”。 如 果 那 些 负责 安全 需求 的 人 (通常 是 安全 架构 师 ) 不 熟悉 该 系统 将 
被 部 署 在 的 基础 设施 ， 那 么 必须 对 基础 设施 进行 评估 。 同 样 ， 为 了 将 它们 应 用 于 该 系统 ， 策 
略 和 标准 必须 彻底 理解 。 

通常 ， 对 于 一 个 正在 运行 的 安全 架构 实践 ， 在 现 有 基础 设施 上 会 有 一 些 专家 和 政策 专家 。 
对 于 托管 系统 ， 这 些 主题 专家 可 以 帮助 细 化 分 析 ， 以 精确 地 满足 部 署 基 础 设置 用 的 系统 的 需 
求 。 通 过 这 种 方式 , 托管 系统 将 能 满足 组 织 的 政策 。 男 一 方面 ， 如 果 它 是 一 个 新 的 基础 设施 ， 
有 一 个 尽职 调查 的 责任 ， 以 检查 每 个 安全 因素 是 适用 的 。 坚 持 把 在 新 的 基础 设施 上 进行 研究 
作为 系统 分 析 的 一 部 分 。 

如 果 不 看 基础 设施 ， 而 是 仅仅 着 眼 于 正在 建造 的 系统 ， 那 么 尽管 架构 师 努 力 建立 一 个 良 
好 的 纵深 防御 系统 ， 攻 击 者 仍然 可 以 通过 基础 设置 系统 进行 攻击 。 构 建安 全 体系 架构 必须 有 
责任 尽职 地 调查 ， 始 终 是 从 前 到 后 ,一 边 到 男 一 边 ， 从 下 到 上 ,深入 分 析 所 有 支持 或 交互 的 
组 件 。 连 接 的 每 个 系统 会 打开 不 同 的 可 能 性 ， 即 互联 系统 的 安全 状况 将 以 某 种 方式 会 影响 到 
它 所 连接 的 系统 的 安全 状况 。 这 是 安全 架构 分 析 的 基本 定律 。 安 全 分 析 失 败 了 就 是 彻底 的 失 
败 。 如 果 基 础 设置 在 组 织 的 政策 控制 之 下 ， 该 分 析 必 须 包 括 将 要 部 署 系统 的 基础 设置 。 因 此 ， 
总 是 要 问 :“ 该 系统 的 任何 部 分 都 由 这 个 组 织 或 其 合作 伙伴 托管 吗 ?” 
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包括 一 个 Web 服务 器 吗 ? 

正如 这 本 书 所 写 ，Web 服务 器 安全 性 测试 需要 使 用 一 套 专业 的 工具 和 技巧 。 出 于 这 个 
原因 ， 我 们 发 现 确定 是 否 需要 Web 服务 器 测试 是 有 用 的 ， 这 样 可 以 使 相应 的 测试 参与 进去 。 
一 般 来 说 ， 软 件 中 的 每 一 个 输入 必须 经 过 彻底 的 测试 。 专 用 工具 可 以 测试 自 定 义 Web 应 用 
程序 代码 。 这 些 工 具 需 要 专业 知识 ， 不 仅 理解 网 络 攻 击 及 其 变种 ， 而 且 每 个 特定 工具 有 它 
的 长 处 还 有 它 的 局 限 性 。 所 以 我 们 在 整个 测试 计划 中 包括 一 个 单独 的 方法 ， 来 确定 Web 服 
务 器 的 存在 性 ， 使 得 Web 输入 需要 特殊 关注 。 这 种 类 型 的 测试 称 为 动态 测试 。 虽 然 各 种 动 
态 测 试 工具 中 大 多 数 一 定 有 重 倒 ， 但 是 我 们 还 是 建议 使 用 针对 Web 应 用 程序 的 这 些 工 具 。 
重要 的 是 ,许多 攻击 者 专注 于 Web 漏洞 。 当 然 ， 如 果 系 统 暴露 在 公共 互联 网 下 ， 它 将 会 不 
断 被 攻击 ， 必 须 让 自己 做 好 抵御 这 些 常见 的 变 体 攻击 的 准备 。 然 而 ， 即 使 系统 被 部 署 在 一 
个 更 可 信 的 网 络 上 ， 我们 相信 ， 高 强度 的 Web 服务 器 动态 测试 仍然 是 很 重要 的 。 高 明 的 攻 
击 者 有 时 会 在 可 信 的 网 络 上 展开 攻击 。 防 御 薄 弱 的 Web 服务 器 本 身 就 是 一 个 目标 ,或 者 作 
为 一 个 跳板 ,攻击 其 他 更 有 价值 的 目标 。 因 此 ， 和 良好 的 实践 将 使 所 有 Web 服务 器 从 这 个 专 
业 测试 受益 。 

该 程序 会 有 其 他 输入 码 ? 

除了 Web 服务 器 输入 以 外 ， 还 有 无 数 其 他 输入 可 能 内 置 在 系统 中 : 命令 行 接口 、 配 置 文 
件 、 网 络 输入 、 原 生 形 式 、 脚 本 引擎 ， 等 等 。 这 些 是 能 被 攻击 的 地 方 。 每 个 输入 有 可 能 存在 
一 个 潜在 的 逻辑 错误 ， 它 能 绕 过 如 身份 验证 和 授权 这 种 访问 控制 。 程 序 的 逻辑 错误 可 能 被 小 
用 以 做 意 想不到 的 事情 ， 能 降价 销售 或 使 用 不 存在 的 价格 销售 产品 。 此 外 ， 如 果 程 序 员 使 用 
编程 语言 直接 操纵 计算 机 内 存 ， 不 完善 的 输入 处 理 可 能 造成 程序 或 者 操作 系统 的 严重 小 
与 内 存 相关 的 错误 通常 允许 系统 提 权 或 允许 执行 攻击 者 选择 的 代码 。 输 入 在 任何 程序 中 都 是 
一 个 重要 的 攻击 手段 ， 经 常 是 主要 的 攻击 面 。 

写 测试 计划 之 前 ， 所 有 输入 到 系统 的 数据 应 该 被 枚 举 。 每 个 枚 举 输入 应 该 被 测试 ， 以 确 
定 正 确 的 输入 值 被 正确 地 处 理 。 此 外 ， 必 须 运 行 测试 以 证 明 不 正确 的 输入 变量 不 会 导致 系统 
崩溃 ,或 者 更 糟糕 的 是 ， 越 过 软件 边界 作为 一 个 攻击 向 量 (例如 在 缓冲 区 溢出 允许 提 权 和 攻 
击 者 执行 的 代码 中 )。 常 见 的 工具 是 编写 一 个 模糊 测试 工具 。 这 些 工具 模拟 许多 变量 ,攻击 者 
可 能 对 软件 进行 攻击 。 一 旦 模糊 工具 准备 好 一 个 特定 的 输入 点 ， 它 自动 产生 一 组 变量 并 尝试 
这 些 不 正确 的 输入 。 当 程序 开始 表现 异常 或 月 浊 的 时 候 ， 模 糊 工 具 将 停止 检测 。 这 样 ， 不 正 
确 的 输入 处 理 ， 甚 至 不 正确 的 内 存 处 理 ， 将 会 暴露 出 来 。 建 议 在 整个 开发 周期 内 变化 的 每 一 
个 输入 都 被 模糊 测试 。 

模糊 工具 和 Web 漏洞 分 析 工 具 之 间 有 一 些 功能 重 全 的 地 方 。 如 果 测 试 时 间 不 长 ， 我 们 建 
议 对 Web 服务 器 运行 Web 漏洞 分 析 工 具 ， 对 剩 下 的 其 他 输入 进行 模糊 测试 。 然 而 ，Web 漏洞 
分 析 工 具 和 fuzz 工具 重复 扫描 漏洞 并 不 是 一 个 坏 主意 。 因 为 Web 扫描 工具 寻找 已 知 的 攻击 模 
式 ， 模 糊 工 具 检查 没有 处 理 好 的 输入 ， 采 用 这 两 种 类 型 的 动态 分 析 比 单独 使 用 其 中 一 个 提供 
了 更 好 的 覆盖 范围 。 

测试 计划 将 可 能 会 包括 预期 的 安全 功能 和 动态 测试 两 种 测试 ， 通 过 人 工 审查 和 静态 分 析 ， 
以 确保 没有 漏洞 ， 如 图 9-9 所 示 。 
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图 9-9 测试 计划 的 组 成 


这 是 一 个 主要 发 布 (版本) 吗 ? 

第 7 个 和 最 后 一 个 问题 是 关于 这 个 项 目的 重要 性 或 发 布 软件 作为 一 个 整体 的 关系 。 在 软 
件 开 发 生命 周期 将 增加 的 部 分 被 视 为 一 个 重大 补充 和 /或 修改 ? 如 果 有 大 量 的 体系 架构 更 改 ， 
可 能 伴随 着 在 当前 正在 运行 的 代码 或 维护 版 本 中 增加 了 显著 的 特点 ， 可 能 引入 微妙 的 逻辑 变 
化 ， 甚 至 可 能 有 错误 进入 代码 库 。 一 些 最 微妙 的 bug 会 对 其 他 的 代码 片段 产生 意 想不到 的 负 
面 影响 。 事 实 上 ， 很 难 对 内 部 交互 行为 进行 彻底 检测 ; 当 添 加 的 有 负面 影响 的 新 功能 与 遗留 
代码 以 无 法 预料 的 方式 进行 交互 时 ， 尤 其 如 此 。 

此 外 ， 软 件 的 使 用 者 往往 对 较 大 的 修改 有 更 高 的 期 望 。 主 要 版 本 往往 将 会 比 小 幅 更 新 版 
本 获得 更 多 的 审核 和 更 广泛 的 发 布 。 

由 于 这 些 原因 ， 当 一 个 主要 发 布 版 本 被 认为 “代码 完成 ”的 时 候 ， 很 值得 对 其 进行 全 
面 、 整 体 的 安全 属性 和 漏洞 检查 。 可 以 通过 一 个 独立 的 攻击 和 渗透 来 进行 检查 。“ 独 立 ” 在 
这 种 情况 下 意味 着 独立 于 构建 软件 并 测试 它 。 由 于 渗透 测试 需要 大 量 的 技巧 ， 因 此 可 以 聘 
请 专家 。 我 们 还 应 该 记 住 ， 每 个 测试 人 员 提 供 的 结果 是 不 同 的 ; 每 个 渗透 测试 对 于 测试 人 
员 和 被 测试 软件 来 说 或 多 或 少 都 是 独一无二 的 。 因 此 ， 在 开发 模型 、 执 行 栈 上 有 重要 技能 
的 人 ， 甚 至 是 编写 这 个 软件 的 人 ， 执 行 这 个 主要 发 布 版 本 的 渗透 测试 将 是 一 个 良好 的 实践 。 
如 果 不 匹 配 测试 软件 类 型 可 能 会 带 来 不 理想 的 结果 。 你 想 找 的 测试 人 员 应 该 知道 如 何 攻击 
你 写 的 软件 。 

通过 高 度 熟 练 的 攻击 者 对 软件 的 攻击 ， 你 可 以 发 现 精明 的 攻击 者 可 能 会 发 现 并 利用 的 各 
种 各 样 的 漏洞 。 微 妙 和 复杂 的 错误 可 以 在 软件 正式 上 线 前 被 发 现 和 修复 。 此 外 ， 你 将 对 这 个 
版 本 中 任何 残留 的 风险 有 个 更 清晰 的 认识 。 

这 样 一 来 ， 你 可 以 向 组 织 和 消费 者 保证 软件 确实 不 但 是 自我 保护 的 而 且 是 正确 的 。 我 们 
发 现 ， 市 场 和 /或 广泛 发 布 的 软件 竞争 都 很 激烈 ; 经 过 渗透 测试 证 明 可 以 具有 竞争 优势 ， 这 
表明 该 软件 不 仅 是 安全 的 ， 而 且 是 软件 制造 商 对 客户 安全 的 承诺 。 

回答 这 7 个 确定 问题 可 以 控制 瀑布 和 敏捷 流程 的 安全 任务 流 。 在 每 个 流 的 开发 不 同 处 放 
置 适 当 的 活动 。 这 些 差异 将 在 下 面 描述 。 

这 7 个 问题 中 每 一 个 的 答案 回答 了 “什么 是 我 的 项 目 必 须 执行 最 小 的 一 组 活动 ?” 然 而 ， 
不 应 向 团队 这 些 答 案 ， 如 果 他 们 不 能 对 最 小 设 定 补充 其 他 活动 ， 而 这 些 活动 可 能 会 提供 附加 
的 安全 值 。 举 例 来 说 ， 如 果 有 时 间 ， 甚 至 现 有 架构 和 设计 的 威胁 建 模 可 能 会 发 现 一 些 有 用 的 
东西 。 攻 击 模式 随时 间 而 改变 ; 昨日 流行 的 攻击 方法 可 能 被 男 一 种 更 容易 或 成 功率 更 高 的 攻 
击 方法 取代 。 

问 :“ 什 么 是 新 的 ?” 来 评估 建议 的 变更 范围 。 有 迹象 表明 ， 每 个 答案 流向 其 他 活动 。 
而 在 这 些 迹 象 的 早期 ， 更 多 的 架构 活动 将 会 引导 后 来 的 设计 、 构 建 和 测试 任务 。 表 9-1 和 
表 9-2 描述 活动 的 选择 。 
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R 9-1 SDL 确定 问题 所 指示 的 架构 和 设计 活动 
a TE 









未 开发 区 或 者 重新 设计 ? 确定 所 需 的 安全 状况 和 包含 利益 相 | 执行 “架构 改变 ”步骤 流 ( 见 图 
关 者 的 安全 战略 。 生 成 高 级 安全 需求 | 9-4 ) 
改变 架构 ? 审查 安全 架构 并 建立 架构 威胁 模 | 执行 “添加 安全 特征 ” 流 ( 见 图 
型 。 得 出 架构 需 3 9-5 ) 
将 要 添加 任意 一 个 安全 特征 ? 设计 一 定 要 审查 以 确保 正确 性 和 评 | ”对 每 个 安全 特征 添加 功能 测试 到 测 
Chive ” 试 计 划 里 
是 否 添 加 客户 数据 (个 人 可 身份 信 | 执行 一 个 私有 审查 
息 [PI]) ? 
是 否 一 些 系统 会 被 组 织 或 者 合作 伙 | ”审查 基础 设施 安全 性 在 基础 设施 里 的 软件 被 发 布 之 前 执 
伴 托 管 ? 行 一 个 第 三 方 库 漏洞 测试 


表 9-2 SDL 确定 问题 中 的 代码 规范 和 测试 活动 


是 否 添 加 了 第 三 方 库 软件 ? 执行 一 个 法 律 许 可 证 审查 软体 发 布 后 之 验证 与 测试 ， 监 控 在 
第 三 方 软件 中 发 现 的 漏洞 






是 否 有 一 个 瀑布 构建 周期 或 者 敏 | 安全 编码 。 执 行 手工 代码 审查 。 运 行 | 修复 发 现 的 缺陷 
捷 冲 刺 周 期 ? 态 

是 否 有 一 个 Web 服务 器 ? 修复 缺陷 

是 否 需要 枚 举 其 他 输入 ? 修复 缺陷 
是 否 有 一 个 主 发 布 版 本 ? 考虑 一 个 独立 的 漏洞 评估 和 渗透 测试 





K 9-1 列 出 了 适用 的 活动 ， 无 论 你 使 用 的 是 瀑布 模型 还 是 敏捷 方法 。 这 些 都 是 以 前 描述 
的 各 个 部 分 。 

对 于 一 个 瀑布 模型 开发 方法 ， 下 面 的 任务 流 以 线性 方式 进行 : 设计 ， 构 造 ， 然 后 进行 测 
试 。 对 于 敏捷 开发 方法 ， 以 下 任务 将 在 每 个 开发 周期 (并 列 “冲刺 ”) 和 迭代。 而 不 是 单个 设计 
时 期 必须 在 开发 开始 之 前 完成 ， 每 个 短 周期 被 设计 为 已 选 定 版 本 的 增 量 。 该 循环 将 完成 时 ， 
这 些 功 能 已 经 过 测试 ， 并 准备 发 布 ， 即 “代码 完成 “。 因 此 ， 在 敏捷 开发 中 ， 有 短期 、 集 中 
的 设计 周期 并 进行 编码 ， 然 后 再 测试 。 然 而 ， 据 我 们 所 知 ， 对 于 任何 一 个 特定 的 增 量 进行 
重新 设计 的 情况 并 不 多 见 。 无 论 何 时 有 代码 需要 进行 测试 ,测试 都 有 可 能 会 开始 。 出 于 这 个 
原因 ， 该 表 包 含 每 个 开发 周期 的 安全 任务 ， 在 敏捷 开发 中 根据 需要 通过 敏捷 团队 来 执行 。 在 
一 个 敏捷 开发 中 所 有 三 项 活动 可 能 同时 发 生 。 表 9-2 显示 了 这 些 活动 ， 这 些 活动 属于 “构建 ” 
瀑布 模型 或 敏捷 过 程 及 其 相关 的 确定 问题 的 一 部 分 。 

9.3 节 将 全 面 研究 这 些 任 务 流 。 

重要 的 是 要 评估 那么 没有 经 过 正式 SDL 过 程 的 遗留 代码 和 项 目的 安全 影响 。 当 早期 的 开 
发 没有 使 用 一 个 成 熟 的 SDL 过 程 (也 就 是 在 当前 的 变革 之 前 ) 时 ， 就 需要 尽职 调查 ， 以 决定 
是 否 有 必要 评估 前 期 工作 。 在 一 个 全 新 SDL 过 程 的 情况 下 ， 可 能 会 认为 代码 或 项 目 以 前 没有 
进行 过 审查 ; 询问 而 不 是 假设 ， 始 终 是 一 个 很 好 的 做 法 。 确 定 问题 的 措 套 是 ,“ 要 补充 …… 
吗 ?” 因 为 这 一 过 程 假设 在 先前 的 开发 周期 中 安全 一 直 按照 SDL 进行 。 因 此 ，7 个 问题 集中 
在 什么 已 在 发 生 改 变 ， 而 不 是 任何 继承 的 遗产 。 在 实施 或 更 改 SDL 时 ， 任 务 之 一 是 当 应 用 新 
的 SDL 到 当前 的 开发 中 时 ,评估 你 的 遗留 代码 和 项 目 将 需要 多 少 变 化 。 你 的 安全 技术 债务 是 
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什么 ?存在 多 少 设计 失误 ? 在 你 当前 的 开发 周期 引入 了 多 少 有 漏洞 的 代码 ? 

解决 SDL 遗留 技术 债务 的 一 个 方法 是 问 ,“ 我 的 应 用 程序 改变 得 有 多 快 ?” 在 快速 变化 的 
时 期 ， 也 许 这 些 债务 直到 被 偿还 前 还 是 有 意义 的 。 

与 此 同时 ， 在 遗留 代码 传承 到 可 预见 的 未 来 的 情况 下 ， 削 弱 漏 洞 和 风险 也 许 是 有 意义 的 。 
一 个 成 功 的 方法 是 致力 于 每 个 月 找 一 天 “打击 bug”。 开 发 人 员 休 息 一 天 不 编写 代码 ， 而 是 在 
修复 旧 的 缺陷 。 这 样 的 “打击 ”可 以 作为 一 种 放松 ， 从 严格 的 代码 编写 中 解脱 出 来 。 这 样 一 
来 ,“ 技 术 债务 ”减少 了 ， 并 且 缺 陷 从 产品 代码 里 一 点 点 被 删除 。 

bug 打击 一 般 不 针对 设计 问题 。 通 过 架构 和 设计 特性 来 提高 现 有 产品 的 安全 性 必须 考虑 
对 其 他 特性 的 要 求 。 如 果 销 售 的 产品 正在 由 于 缺乏 安全 特性 被 错过 ， 那 么 这 些 特征 的 价值 应 
该 是 显而易见 的 。 然 而 ， 通 常客 户 的 安全 人 员 与 软件 生产 商 的 安全 人 员 在 一 个 单独 的 对 话 内 
交流 。 安 全 人 员 能 相互 理解 。 此 外 ， 客 户 的 安全 人 员 想 要 获得 一 些 保 证 ， 保 证 供应 商 的 安全 
人 员 在 软件 设计 和 编写 期 间 都 参与 了 软件 的 安全 性 建设 。 产 品 管理 必须 包含 在 这 些 客 户 的 安 
全 对 话 里 。 产 品 经 理 需要 明白 ， 客 户 的 安全 团队 往往 会 投 和 否决 票 ， 产 品 可 能 为 了 解决 例外 情 
况 来 部 署 软件 而 花费 额外 的 资源 。 当 产品 经 理 和 安全 架构 师 意见 一 致 的 时 候 ， 安 全 特性 可 以 
在 其 应 有 的 位 置 为 客户 增强 体验 ， 而 不 是 作为 一 组 不 可 行 的 需求 存在 。 . 

任何 安全 需求 都 来 自 于 评估 遗留 软件 需要 被 添加 到 积压 的 特性 要 求 中 。 这 些 应 优先 通过 
风险 评级 。 风 险 评级 可 以 考虑 客户 的 需求 。 有 可 能 的 话 ， 一 个 安全 主题 专家 应 该 包括 在 这 个 
对 话 里 。 

最 后 ， 解 决 技术 债务 是 一 个 具有 风险 的 决策 。 如 果 解 决 比 损失 更 昂贵 ， 解 决 的 风险 可 能 
是 没有 意义 的 。 各 种 因素 必须 权衡 ， 包 括 没有 发 现 新 技术 时 丢失 的 机 遇 成 本 。 我 们 已 经 看 到 
大 型 代码 库 已 经 被 列 出 的 多 达 75000 项 缺陷 的 情形 。 一 组 已 知 的 自动 化 工具 在 撰写 本 章 时 还 
不 够 成 熟 ， 因 而 无 法 保证 每 一 个 发 现 的 问题 实际 上 确实 是 一 个 缺陷。 简单 地 认定 其 中 75000 
项 缺陷 实际 上 确实 是 缺陷 是 显而易见 的 琐事 。 更 不 用 说 修复 名 副 其 实 的 缺陷 ， 我 们 应 慎重 考 
虑 这 件 事 。 重 要 的 是 记 住 ，Bran Arkin, Adobe 的 CSO， 告 诉 我 们 其 中 一 位 作者 ,“ 漏 洞 不 一 
定 都 可 利用 。” 事 实 上 ， 缺 陷 不 一 定 是 有 漏洞 的 。 当 漏洞 被 刻意 的 部 署 模型 暴露 的 时 候 ， 一 个 
基于 风险 的 方法 将 专注 于 利用 这 些 漏洞 。 原 始 缺 陷 数 量 ， 对 于 其 漏洞 本 身 是 没有 意义 的 。 


9.4 ”架构 和 设计 


系统 架构 是 一 种 常见 学 科 ， 用 于 处 理 对 象 ( 现 有 的 或 待 创建 的 )， 这 些 对 象 也 称 
为 “系统 ”， 在 某 种 程度 上 它 支持 推理 关于 这 些 对 象 的 结构 性 质 …… 系统 架构 是 描述 
的 实际 困难 和 复杂 系统 的 设计 在 概念 上 的 响应 。 系 统 架 构 有 助 于 一 致 性 地 描述 和 有 
效 地 设计 复杂 的 系统 。D 


为 什么 在 SDL 中 包括 架构 呢 ? 目前 信息 安全 领域 有 一 名 名言:“ 内 置 安全 ， 不 要 螺丝 。 
架构 是 系统 的 结构 、 流 程 、 数 据 。 关 于 该 架构 的 决策 可 以 从 根本 上 影响 系统 的 安全 状况 。 如 
果 未 能 添加 一 个 身份 验证 机 制 ， 那 么 最 好 在 架构 设置 后 加 上 它 。 最 坏 的 情况 是 ， 有 要 求 认证 
的 需求 ， 但 认证 机 制 不 可 以 添加 到 该 架构 中 : 验证 机 制 已 经 固化 下 来 。 

一 而 再 ， 再 而 三 地 ， 我 们 看 到 一 些 系统 ， 假 定 它 们 运行 在 一 个 高 度 受 限 的 网 络 中 。 假 设 
网 络 将 提供 适当 的 限制 ， 然 后 设计 应 用 程序 在 这 个 架构 下 不 采取 任何 保护 措施 地 在 组 件 之 间 
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传输 敏感 信息 ， 其 实数 据 流 可 能 不 被 保护 ， 因 为 只 假设 目标 系统 中 的 组 件 部 署 在 受 保护 的 网 
络 上 。 在 异 构 网 络 、 高 级 持续 性 威胁 攻击 和 巨大 的 云 服 务 器 场 环境 下 ， 任 何 应 用 程序 都 把 自 
己 限 制 在 严格 受 保护 网 络 中 的 可 能 性 非常 之 小 。 绝 大 多 数 的 网 络 是 共享 的 ， 很 少 有 高 度 可 信 
的 网 络 部 署 。 假 设 网 络 将 保护 系统 的 所 有 组 件 和 组 件 之 间 的 所 有 数据 流 将 是 一 个 重大 的 架构 
错误 。 然 而 ， 我 们 不 断 地 看 到 这 种 架构 。 我 们 需要 在 共享 网 络 上 暴露 组 件 、 数 据 流 和 在 共享 
环境 下 管理 复杂 的 防火 墙 规则 之 间 做 出 选择 。 此 外 ， 防 火 墙 可 能 无 法 提供 用 户 所 需要 的 深度 
应 用 防护 功能 。 

安全 架构 具有 特定 的 特征 。 

。 安 全 架构 都 有 自己 的 方法 。 这 些 方法 可 能 是 一 个 离散 的 安全 方法 的 基础 。 

。 安 全 架构 有 自己 的 离散 的 看 法 和 观点 。 

。 安 全 架构 提出 的 非 规范 化 流 经 过 系统 和 应 用 程序 。 

。 安 全 架构 经 过 系统 和 应 用 程序 引入 自己 的 规范 流 。 

。 安 全 架构 引入 独特 、 专 用 组 件 的 设计 。 

。 安 全 结构 要 求 IT 架构 师 具有 独特 的 技能 。™” 

绝 大 多 数 的 架构 设计 选择 至 少 会 有 一 些 安全 隐患 。 其 中 一 些 选择 将 具有 深远 的 安全 影响 ， 
这 些 影响 表明 安全 控制 中 的 特定 模式 。 因 此 ， 有 安全 格言 ,“ 内 置 安全 。。” 构建 安全 如 图 9-10 
所 示 





图 9-10 需求 策略 : 架构 ， 威 胁 模型 ,设计 审查 


通常 ， 架 构 流 始 于 需求 收集 。 源 自 需 求 ， 满 足 需 求 ， 然 后 提出 了 一 个 架构 细 化 迭代 。 这 
适用 于 一 个 全 新 的 系统 以 及 改变 一 个 现 有 系统 。 当 然 ， 其 他 影响 因素 包括 哪些 目前 可 以 构建 ， 
哪些 目前 存在 ， 哪 些 是 一 般 架构 上 未 来 的 目标 和 策略 。 当 前 的 能 力 对 提出 解决 方案 产生 深远 
的 影响 。 这 才 是 真正 的 安全 性 ， 其 能 力 丝毫 不 亚 于 数据 库 、 网 络 、 服 务 器 类 型 ， 以 及 支持 这 
些 的 人 员 和 流程 。 事实 上 ， 最 大 限度 地 提高 现 有 能 力 可 能 是 要 求 之 一 。 使 用 现 有 的 验证 机 制 ， 
可 能 是 该 系统 的 安全 要 求 之 一 。 

我 们 强烈 建议 安全 性 包括 在 需求 收集 阶段 。 正 如 我 们 所 指出 的 ， 内 置 的 安全 功能 将 会 是 
整体 系统 安全 蓝图 的 一 部 分 。 一 个 Web 系统 如 果 可 以 访问 财务 信息 ， 该 系统 将 有 可 能 需要 进 
行 身 份 验证 以 确保 该 信息 仅 提 供给 信息 的 持 有 人 。 这 样 的 系统 也 可 能 会 有 一 个 授权 机 制 ， 以 
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便 给 予 合适 的 用 户 正确 的 访问 。 事 实 上 ， 这 样 的 Web 系统 也 将 具有 其 他 不 太 明显 的 安全 性 要 
R: 固化 系统 ， 这 样 他 们 就 可 以 抵抗 不 可 信和 网 络 无 处 不 在 的 攻击 ; 小 心地 分 层 ， 让 前 端 系统 
甚至 中 间 系 统 都 不 能 直接 访问 到 数据 ;从 业务 逻辑 到 数据 存储 的 验证 ， 让 来 自 不 可 信 或 者 不 
恰当 应 用 的 不 恰当 访问 得 不 到 授权 。 这 些 需求 是 显而易见 的 。 然 而 ， 我 们 已 经 看 到 许多 系统 
忽视 了 收集 特定 的 安全 需求 的 必要 性 ， 忽 视 了 项 目 成 功 的 风险 。 我 们 甚至 看 到 了 安全 需求 表 
述 为 :“ 该 系统 将 是 安全 的 。” 很 显然 ， 这些 非特 异性 的 、 广 义 的 要 求 没有 用 。 


企业 安全 架构 是 由 整个 企业 架构 的 组 件 专门 设计 来 实现 …… 总 体 目标 …… 保 持 
一 个 组 织 的 信息 的 可 用 性 、 完 整 性 和 机 密 性 。[Dl 


对 于 一 个 全 新 〈 或 完全 重新 设计 ) 的 架构 ， 安 全 性 应 及 早 考虑 ， 以 从 战略 上 确定 如 何 能 够 
满足 系统 未 来 以 及 目前 的 预期 、 改 变 和 增长 。 安 全 架构 师 必须 在 应 对 目前 的 各 类 威胁 和 这 些 
威胁 在 类 似 系 统 目标 上 的 攻击 时 具有 坚实 的 基础 。 在 这 些 战略 决策 上 ， 安 全 架构 师 还 应 该 对 
于 新 兴 威 胁 和 攻击 方法 的 趋势 有 一 个 良好 的 预感 。 什 么 新 的 威胁 才刚 刚 开始 变 得 活跃 ”这 些 
新 的 威胁 中 ， 它 们 可 能 的 攻击 方法 是 什么 ?》 当 威胁 主体 的 组 织 和 复杂 度 增长 时 ， 它 们 可 能 怎 
么 扩大 攻击 模式 ? 对 于 这 些 各 种 各 样 的 问题 ， 好 的 架构 不 仅 可 以 用 于 现在 的 用 例 ， 而 且 在 可 
预见 的 未 来 也 可 以 使 用 。 通 常 ， 企 业 级 架构 师 考 虑 类 似 的 问题 ， 比 如 组 织 的 成 长 ， 用 户 数 量 
的 增长 ， 数 据 的 增长 ， 以 及 架构 扩张 的 能 力 。 未 来 的 安全 需求 需要 跟 现在 的 安全 需求 一 样 被 
给 予 关注 。 

任何 架构 评 佑 要 求 必 须 满 足 评估 的 架构 。 通 常情 况 下 ， 早 期 的 要 求 是 比较 一 般 性 的 : 用 
户 将 被 验证 ， 系 统 将 需要 固化 ， 支 付 卡 行业 (PCI) 认证 (在 适当 的 层次 ) 将 需要 满足 ， 等 等 。 
这 些 细节 被 合并 到 新 的 架构 里 。 

由 于 架构 在 系统 里 被 很 认真 地 处 理 ， 因 此 安全 需求 也 将 开始 采取 一 些 特别 之 处 。 选 择 一 
个 特定 的 验证 系统 : 对 于 一 个 大 的 服务 器 场 ， 例 如 ， 选 择 一 个 系统 ， 它 可 以 每 分 钟 处 理 数 以 
百 万 计 的 验证 ， 能 够 处 理 数 以 百 万 计 用 户 身 份 ， 可 以 在 可 接受 的 时 间 和 环境 下 完成 处 理 ， 等 
等 。 或 者 ， 如 果 该 验证 系统 是 很 合适 的 ， 或 许 用 一 个 一 体 的 库 或 者 另 一 个 模块 来 实现 将 会 是 
足够 的 。 使 用 前 者 意味 着 巨大 的 增长 和 大 量 的 用 户 流量 ， 甚 至 异 构 系 统 。 当 使 用 后 一 种 验证 
系统 时 ， 较 小 的 库 可 以 阻止 服务 右 场 数目 的 增长 。 在 考虑 到 预期 用 途 ( 比 如， 为 客户 部 署 的 
设备 验证 系统 ) 时 ,一 个 相对 的 制约 机 制 可 能 是 必要 的 。 在 任何 情况 下 ， 特 定 的 选择 将 基于 
该 系统 的 在 预定 部 署 和 相对 于 预期 增长 的 要 求 下 进行 。 该 架构 将 变 得 更 加 上 有 具体 和 特殊 。 安 全 
架构 过 程 的 输出 特定 于 组 件 ， 这 些 组 件 提 供 符 赴 的 服务 和 和 众 所 阅 类 的 通信 协 说 。 

对 于 现 有 架构 中 的 系统 ， 这 种 架构 的 任何 改变 可 能 都 会 有 安全 隐患 ， 所 以 每 个 架构 变化 
导致 的 安全 问题 应 予以 考虑 。 举 例 来 说 ,添加 一 个 第 三 方 的 合作 伙伴 ， 其 财务 数据 流 可 能 导 
臻 要 引入 额外 机 制 ， 以 在 传输 过 程 中 保护 金融 数据 。 另 外 ， 保 护 需 要 落实 到 位 ， 使 得 只 有 特 
定 的 伙伴 将 能 够 交互 。 换 名 话说， 现 有 架构 的 安全 需要 将 会 改变 新 的 组 件 ， 或 者 新 的 通信 流 ， 
或 者 新 的 数据 类 型 。 更 改 任何 架构 部 分 必须 考虑 整体 架构 和 所 有 现 有 的 安全 服务 。 如 果 不 同 
于 设计 工作 ， 这 项 工作 非常 相似 。 因 此 ， 在 考虑 的 系统 安全 策略 后 或 者 一 个 现 有 系统 的 架构 
改变 之 后 ， 指 定 系统 安全 性 的 架构 评估 。 这 组 SDL 任务 流 假设 现 有 架构 对 于 一 个 全 新 的 系统 
已 经 通过 一 个 全 面 的 、 彻 底 的 安全 评估 。 如 果 没 有 之 前 的 安全 评估 ,那么 现 有 的 架构 应 该 被 
视 为 全 新 的 。 
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一 旦 架构 及 其 所 有 辅助 组 件 ， 包 括 部 署 模型 和 任何 基础 设施 ， 是 可 以 彻底 理解 的 ， 就 应 
该 建立 威胁 模型 。 威 胁 模型 包括 设置 信任 边界 和 确定 攻击 面 。 并 不 是 每 一 个 攻击 方法 都 跟 每 
一 个 系统 都 很 密切 。 重 要 的 是 : 

。 部 署 模 型 打开 或 关闭 攻击 面 。 

。 执 行 环境 (继承 自 底层 系统 ) 提供 服务 和 攻击 面 。 

。 在 现 有 的 基础 设施 上 部 署 系 统 的 时 候 遗 留 有 安全 漏洞 和 缺陷 。 

。 不 同 的 语言 和 运行 时 模型 提供 独特 的 优点 和 缺 点 。 

一 些 组 件 将 会 更 加 暴露 ， 并 因此 而 不 可 信 ， 而 其 他 组 件 可 能 需要 被 屏蔽 ， 或 者 停留 在 信 
任 边界 的 核心 。 

假设 一 个 用 户 界面 和 一 个 软件 之 间 的 交互 必须 成 为 操作 系统 的 一 部 分 (例如 ， 一 个 内 核 
驱动 程序 )。 用 户 软 件 将 成 为 一 个 明显 的 攻击 点 。 攻 击 者 希望 穷 取 用 户 的 数据 或 通信 内 容 。 攻 
击 者 可 能 会 通过 内 核 驱动 程序 的 用 户 界面 控制 操作 系统 。 保 护 不 善 的 内 核 驱动 程序 也 可 以 成 
为 提升 权限 的 一 个 途径 。 内 核 驱动 程序 是 操作 系统 中 最 值得 信赖 的 核心 的 一 部 分 。 用 户 界 面 
组 件 应 该 保护 自己 ， 内 核 驱动 程序 也 应 该 保护 自己 。 然 而 ， 需 认识 到 如 果 用 户 界面 保护 失败 ， 
那么 内 核 驱动 程序 必须 保护 好 自己 。 驱 动 程序 还 必须 保护 操作 系统 ， 并 且 不 给 内 核 添加 漏洞 ， 
保护 操作 系统 的 最 高 特权 。 

用 户 界 面 和 内 核 驱动 程序 之 间 的 自然 信任 边界 是 显而易见 的 。 下 面 这 些 应 该 也 是 显 而 易 
见 的 ， 专 为 简单 系统 设计 的 威胁 模型 不 仅 考虑 用 户 界面 、 明 显 的 攻击 面 ， 而 且 考虑 用 户 软 件 
和 内 核 之 间 的 流 或 交换 。 用 户 软件 可 以 选择 信任 的 内 核 驱 动 程序 。 但 是 ， 在 任何 情况 下 ， 内 
核 驱动 程序 接受 来 自任 何 模块 (除了 用 户 界面 ) 的 通信 。 此 外 ， 用 户 界面 必须 具有 高 度 的 自我 
保护 性 以 避免 试图 把 它 作为 获得 内 核 权 限 的 一 种 方式 。 从 这 个 非常 简单 的 威胁 模型 ， 你 可 以 
看 到 新 出 现 的 安全 要 求 必 须 内 置 在 架构 和 设计 中 : 

。 用 户 界面 输入 验证 

。 模 块 间 验 证 

。 来 自用 户 界面 的 内 核 输入 验证 (在 身份 验证 或 者 用 户 界面 的 输入 验证 失败 的 情况 下 ) 

根据 操作 系统 的 不 同 而 不 同 ， 关 于 加 载 顺 序 、 执 行 权 限 ， 安 装机 制 、 配 置 文件 权限 、 配 
置 文件 验证 等 可 能 会 产生 大 量 的 需求 。 

我 们 不 相信 威胁 建 模 本 身 就 足够 了 。 威 胁 模型 需要 输出 对 架构 的 分 析 : 完全 理解 所 有 的 
组 件 、 流 和 数据 。 架 构 分 析 确 定安 全 功能 的 需求 ( 即 满 足 潜 在 用 户 的 安全 需求 )。 如 果 没 有 这 
些 信息 ， 威 胁 模 型 可 能 是 不 完整 的 。 有 了 架构 结构 和 安全 需求 ， 可 以 威胁 模型 建立 以 了 解 当 
前 系统 面 对 的 攻击 面 。 如 前 所 述 ， 因 为 每 个 攻击 对 于 每 个 系统 都 是 不 可 靠 的 ， 所 以 威胁 模型 
认为 可 能 的 攻击 场景 基于 对 相似 系统 的 优先 攻击 模型 的 分 析 。 

从 威胁 模型 输出 的 任何 要 求 ， 将 创建 新 的 测试 计划 项 ， 这 是 真实 的 。 这 些 新 的 测试 用 例 
确保 安全 需求 已 正确 建立 。 因 此 ， 如 果 威 胁 模 型 产生 需求 ， 测 试 计划 将 获得 新 的 测试 用 例 。 
安全 测试 用 例 依赖 于 架构 分 析 和 威胁 建 模 。 


O 威胁 建 模 系 统 ， 如 微软 的 STRIDE， 可 以 做 我 们 做 不 了 的 假设 。STRIDE 假设 建 模 者 已 经 相当 熟悉 目标 系 
统 的 架构 ， 因 为 任何 成 熟 、 异 构 的 开发 团队 都 可 能 会 很 熟悉 。 然 而 ， 对 于 高 度 共 享 的 安全 架构 师 ， 可 能 并 
非 如 此 。 此 外 ，STRIDE 的 目的 是 授权 未 经 过 安全 训练 的 开发 团队 开始 。 因 此 ，STRIDE 故意 被 简化 。 我 
们 赞赏 STRIDE 和 类 似 的 方法 。 如 果 你 的 情况 符合 STRIDE 的 目的 ， 我 们 鼓励 您 使 用 它 。 
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一 般 来 说 ， 如 果 没 有 架构 上 的 改变 ， 那 么 架构 分 析 和 威胁 建 模 可 以 忽略 。( 这 假设 现 有 架 
构 已 经 经 过 安全 评估 和 威胁 建 模 )。 

系统 的 设计 必须 实现 所 有 来 自 架 构 的 需求 。 如 果 一 个 架构 是 结构 、 流 程 和 数据 ， 那 么 按 
照 预期 的 结构 实现 设计 。 设 计 必 须 有 足够 的 特异 性 ,来 保证 它 实际 上 可 以 编码 。 

给 予 充分 的 、 明 确 的 、 足 够 详细 的 需求 或 者 用 户 故 事 ( Scrum)， 熟 练 的 软件 设计 师 很 容 
易 把 架构 及 其 需求 转化 成 软件 设计 。 这 可 以 在 瀑布 过 程 的 编码 阶段 之 前 完成 ， 或 者 在 每 个 敏 
捷 开发 的 增 量 生成 周期 之 前 完成 。 在 这 两 种 过 程 的 情况 下 ， 特 别 注意 安全 特性 和 需求 是 非常 
重要 的 。 这 些 都 必须 是 绝对 正确 的 ， 否 则 实现 可 能 产生 了 漏洞 ， 或 者 更 糟 的 是 ,创建 一 个 新 
的 、 不 受 保护 的 受 攻击 面 。 逻 辑 已 经 得 到 了 无 懈 可 击 的 关键 安全 功能 ， 如 加 密 例 程 或 授权 方 
案 。 该 系统 的 用 户 将 根据 这 些 功 能 来 保护 自己 的 资源 。 

我 们 把 安全 设计 审查 放 在 这 么 一 个 点 上 ， 设 计 师 认为 这 个 设计 是 非常 接近 完成 的 。 安 全 
设计 审查 应 由 理解 架构 和 功能 的 安全 审查 员 执 行 ; 通常 ， 审 查 最 好 由 有 设计 经 验 的 ， 甚 至 实 
现 过 安全 特性 的 人 来 做 。 我 们 进一步 表明 ， 审 查 员 是 独立 于 设计 团队 的 。 同 行 审查 是 一 个 强 
大 的 工具 ， 可 以 用 来 验证 设计 的 正确 性 和 完整 性 。 同 行 审 查 的 男 一 只 功能 是 常 第 可 以 发 现 那 
些 设计 中 留 下 的 可 能 已 经 艳 漏 的 错误 。 如 果 任 何 安 全 特性 或 需求 都 建立 在 当前 周期 上 ， 就 执 
行 安全 审查 。 

正如 已 经 指出 的 那样 ， 计 划 设 计 的 每 个 部 分 必须 产生 一 个 完整 的 功能 测试 计划 。 对 于 安 
全 和 其 他 任何 部 分 的 设计 也 是 这 样 。 如 果 传 输 层 安全 协议 (TLS) 将 作为 选项 添加 到 网 络 协议 
栈 中 ,测试 计划 必须 包括 测试 (使 用 和 不 使 用 TLS 的 )， 每 个 案例 有 一 个 通过 条 件 。 安 全 的 设 
计 总 是 意味 着 安全 的 测试 计划 。 

一 个 组 织 如 何 培训 人 员 ， 使 他 们 能 够 完成 这 些 困 难 的 架构 任务 ”软件 安全 专家 Gary 
McGraw 说 : 


多 年 来 我 一 直 挣 扎 于 如 何 教导 人 ……: 安全 设计 。 唯 一 真 的 起 作用 的 技术 是 学 徒 
制 。 简 短 的 学 期 ， 就 可 以 帮助 深刻 理解 安全 设计 原则 。09 


McGraw 的 言论 暗示 ， 为 了 建立 一 个 高 素质 的 团队 ， 每 个 组 织 只 能 在 有 足够 能 力 和 经 验 
丰富 的 从 业 人 员 身 上 投资 ， 这 些 人 员 可 以 指导 和 教 他 们 做 什么 ， 或 者 雇用 可 以 提供 适当 引导 
的 顾问 。 这 些 都 不 可 能 是 很 廉价 的 。 写 作 本 书 时 ， 仍 然 缺 乏 熟练 的 安全 架构 师 ， 比 那些 有 能 
力 和 意愿 传授 自己 所 知 给 他 人 的 人 组 成 的 小 团队 人 数 还 少 。SDL 所 需 的 架构 和 设计 技能 需要 
时 间 来 磨 练 ， 需 要 时 间 来 发 现 关键 的 领导 者 ， 然 后 需要 时 间 让 这 些 领 导 者 从 手边 那些 可 用 的 
和 感 兴趣 的 人 那里 建立 一 个 需要 技巧 的 实践 。 在 这 样 一 个 长 期 的 指导 下 ， 甚 至 那些 积极 的 初 
级 人 员 只 要 两 到 三 年 就 可 以 完全 独立 地 工作 ; 并 开始 在 自己 的 方向 上 处 于 领导 地 位 。 这 是 一 
个 效果 显著 的 时 间 投 资 9。 在 上 面 引 用 的 博客 条 目 中 ，McGraw 引用 了 Salzer 和 Schroeder 在 
1975 年 开创 性 的 论文 “计算 机 系统 的 信息 保护 ”WY 作为 架构 师 一 系列 原则 的 起 点 。 这 些 也 可 
以 用 作 训 练 和 指导 的 基础 。McGraw 的 原则 是 : 

1. 保护 最 薄弱 的 环节 。 

2. 纵深 防御 。 


O 请 注意 ， 并 不 是 每 一 个 人 从 开始 训练 都 将 有 能 力 和 动机 来 完成 。 我 们 的 经 验 是 ， 其 中 /3 ~ 1/2 的 这 些 人 
不 会 成 为 安全 架构 师 。 
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3. 安全 地 故障 。 

4. 授予 最 低 权限 。 

5. 独立 的 特权 。 

6. 节约 机 制 。 

7. 不 共享 机 制 。 

8. 不 愿 相信 。 

9. 假设 你 的 秘密 不 安全 。 

10. 完全 协调 。 

11. 安全 使 用 。 

12. 提高 隐私 。 

13. MRA. "° 

深入 讨论 这 些 原则 不 是 这 项 工作 的 初 囊 。 安 全 从 业 人 员 可 能 已 经 熟悉 车 非 全 部 也 必 绝 大 
多 数 原则 。 我 们 引用 这 些 原则 作为 一 个 如 何 成 功 实现 一 个 成 熟 架 构 实 践 的 例子 。 不 管 你 选 
择 采 用 什么 原则 ， 架 构 模 式 将 会 出 现 。 例 如 ， 当 我 们 考虑 一 个 经 典 的 问题 时 ， 你 的 心中 要 有 
“不 愿 相 信 ” 和 “假设 你 的 秘密 不 安全 ”的 想法 。 当 一 个 评估 员 第 一 次 遇 到 存储 在 永久 存储 上 
的 配置 文件 时 ， 能 考虑 到 日 常 读 取 和 解析 文件 是 一 个 受 攻击 面 可 能 是 很 让 人 惊讶 的 。 一 个 是 
不 禁 想 问 :“ 难 道 这 些 不 是 程序 私有 的 吗 ?”” 不 一 定 。 评 估 员 必须 考虑 什么 样 的 保护 可 以 用 来 
防止 攻击 者 利用 配置 文件 来 传输 漏洞 和 有 效 载 荷 作 为 攻击 途径 。 至 少 有 两 个 安全 控制 : 

1. 仔细 设置 配置 文件 的 权限 使 得 仅 可 以 让 目标 应 用 程序 读 写 配置 文件 。 

2. 在 程序 中 ,不管 任何 目的 ,在 使 用 输入 数据 之 前 必须 严格 验证 所 有 来 自 配置 文件 的 输 
和 数据， 建议 对 这 些 输入 数据 进行 模糊 测试 以 保证 数据 的 有 效 性 。 

一 且 遇 到 过 一 次 ， 可 能 几 次 攻击 之 后 ， 这 两 种 模式 成 为 一 种 标准 ， 评 审 员 将 开始 捕捉 威 
胁 模 型 每 一 次 的 攻击 。 这 些 模式 开始 看 起 来 “零碎 的 ， 干 巴巴 的 ”。s 如 果 配 置 文件 统一 直 被 
跨 文件 夹 使 用 ,那么 可 以 从 这 些 模式 里 诞生 一 个 标准 。 原 则 导出 模式 ， 然 后 可 以 被 标准 化 。 

这 些 权 威 断言 产生 特定 的 模式 ， 并 产生 一 些 特定 类 型 的 控制 ， 这 些 控 制 将 适用 于 这 些 模 
式 。 这 些 模 式 可 以 被 不 相关 的 系统 应 用 。 由 于 架构 师 汲 取经 验 ， 他 们 将 可 能 会 写 出 其 模式 可 
以 适用 于 特定 类 型 的 所 有 系统 的 标准 。 

为 了 捕 提 微妙 的 变化 ， 最 好 的 方式 是 同行 审查 。 如 果 对 评估 人 部 分 有 任何 疑问 或 不 确定 
性 , 就 要 建立 一 个 评估 同行 审查 的 系统 或 威胁 模型 。 

使 用 基本 的 安全 原则 作为 起 点 ， 加 上 强大 的 指导 ， 安 全 架构 和 设计 技能 最 终 可 以 形成 。 
你 还 需要 的 技能 是 用 于 计算 风险 的 方法 。 

一 般 来 说 ， 在 我 们 的 经 验 中 ,信息 安全 风险 S 还 不 是 很 好 理解 的 。 威 胁 成 为 风险 ; 漏洞 
等 同 于 孤立 的 风险 。 通 常情 况 下 ， 在 任何 可 能 的 一 系列 情况 下 ， 对 任何 系统 最 坏 的 影响 是 
假定 的 。 这 样 做 , 而 不 是 仔细 调查 在 哪 种 威胁 下 ， 一 种 特定 的 漏洞 是 怎样 暴露 出 来 的 ， 如 果 
这 样 做 ， 那么 导致 溢出 的 因素 是 什么 ? 我 们 已 经 看 到 过 非常 耐用 的 服务 器 场 设 备 ， 这 些 设 


”日 过 于 标准 化 也 有 危险 : 评估 员 可 能 从 开始 就 忽略 标准 之 外 的 微小 之 处 。 在 可 预见 的 未 来 ， 评 估 和 威胁 建 模 
将 继续 成 为 一 种 艺术 ， 这 种 需要 人 类 的 智慧 才能 彻底 领悟 。 小 心 尝 试 规范 化 一 切 的 诱惑 ， 因 此 ， 试 图 把 专 
家 从 过 程 中 吻 除 ， 虽 然 这 可 能 是 一 个 诱 人 的 愿景 ,但 是 它 会 导致 遗漏 漏洞 。 
日 ”信息 安全 风险 计算 已 经 超出 了 本 章 的 范围 。 请 参阅 Open Group 的 FAIR 方法 。 
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备 被 仔细 看 管 以 限制 许多 常见 的 Web 漏洞 的 影响 ， 以 至 于 部 署 那些 漏洞 的 风险 非常 有 限 。 
风险 计算 的 每 个 部 分 都 必须 考虑 ; 但 是 ， 在 实践 中 ,我 们 发 现 ， 在 计算 风险 时 ， 整 体 的 方 
法 没有 被 采用 。 

一 个 成 功 的 软件 安全 实践 将 花 时 间 培 训 风 险 评估 技术 ， 然 后 建立 或 采用 一 种 方法 ， 这 种 
方法 是 轻 量 级 的 ， 足 以 快速 且 频 繁 执行 ， 但 足够 使 决策 者 有 足够 的 风险 信息 。 


9.5 测试 


设计 和 编写 软件 是 一 门 创造 性 和 创新 性 的 艺术 ， 并且 也 包含 相当 多 的 自律 性 。 当 尝试 写 
出 有 安全 保障 的 无 漏洞 代码 时 ， 创 造 性 和 自律 性 之 间 的 矛盾 是 尤其 真实 的 。 错 误 是 无 可 避免 
的 。 

SDL 的 安全 性 测试 方法 的 彻底 性 是 关键 ， 测 试 是 SDL 纵深 防御 的 关键 所 在 。 测 试 方法 必 
须 重 倒 。 由 于 没有 一 种 测试 方法 可 以 满足 所 有 要 求 的 安全 保证 ， 所 以 用 彼此 重 肥 的 方法 来 帮 
助 确保 完备 性 和 对 所 有 代码 以 及 会 蠕 变 的 漏洞 类 型 进行 包装 。 图 9-11 描述 了 SDL 中 测试 方法 
的 高 层次 类 型 。 根 据 经 验 ， 测 试 方法 也 是 有 缺陷 的 并 且 可 用 的 工具 远 远 说 不 上 完美 。 不 把 安 
全 保证 这 些 “鸡蛋 ” 放 在 一 个 篮子 里 是 很 重要 的 。 














图 9-11 完整 的 测试 套件 


基于 一 个 涉及 许多 不 同类 型 且 使 用 许多 商业 和 免费 工具 的 项 目 中 的 大 量 用 例 ， 大 多 综合 
的 商业 工具 不 是 那么 容易 学 习 、 编 辑 和 使 用 。 因 为 测试 人 员 对 于 一 部 分 可 用 工具 中 变 得 精通 ， 
可 能 有 一 个 趋势 ， 依 赖 每 一 个 测试 员 的 工具 专业 知识 ， 而 不 是 建立 起 一 个 全 面 的 项 目 。 我 们 
已 经 看 过 一 支 小 队 用 定制 的 方法 (攻击 和 渗透 )， 而 下 一 支 小 队 却 使 用 特定 于 语言 和 平台 的 免 
费 工 具 ， 旁 边 就 又 有 这 么 一 支 仅 做 数据 静态 分 析 或 使 用 动态 工具 的 小 队 。 这 些 方法 中 任意 一 
个 都 不 是 完备 的 ， 都 很 有 可 能 错过 重大 的 问题 。 下 面 是 关于 对 合适 的 问题 集 如 何 使 用 合适 工 
具 的 一 些 建议 。 

如 前 面 所 指出 的 ， 我 们 相信 静态 分 析 包 含 在 SDL 核心 中 。 我 们 更 喜欢 把 它 用 作 开 发 者 编 
写 代 码 过 程 中 的 一 部 分 而 不 是 正式 测试 计划 中 的 一 部 分 。 请 看 9.1.3 节 来 获取 更 多 关于 在 SDL 
中 使 用 静态 分 析 的 信息 。 
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9.5.1 功能 测试 


安全 功能 和 控制 的 每 一 个 方面 都 要 先 测 试 以 确保 它们 按照 设计 正常 工作 。 虽 然 这 是 显 而 
易 见 的 ， 但 是 在 任何 一 个 SDL 中 加 入 安全 性 测试 计划 都 至 关 重 要 。 正 如 项 目 组 和 质量 人 员 所 
说 ， 既 然 安全 功能 没有 专门 包含 在 测试 计划 中 ， 就 没 必 要 测试 ， 所 以 也 没 必 要 执行 。 这 种 说 
法 和 安全 专家 的 想法 : 就 只 执行 计划 中 的 任务 ， 一 样 不 负责 任 ， 而 其 他 人 则 创造 性 地 去 掩盖 
那些 必须 的 需求 。 制 定 SDL 任务 表 时 ， 声 明 对 每 个 人 都 很 有 用 ， 每 一 步 都 要 明确 制定 任务 。 

功能 测试 套件 是 架构 和 设计 之 后 的 必要 工作 。 必 须 全 面 地 证 明 每 个 安全 需求 都 已 设计 然 
后 才能 搭建 实现 。 安 全 或 者 其 他 方面 的 功能 都 必须 明确 地 测试 ， 以 保证 工作 和 设计 相 吻 合 。 
描述 功能 测试 集 不 是 本 章 讨论 的 问题 。 但 是 ， 我 们 建议 使 用 多 种 方法 构建 可 靠 的 校 验 体系 。 

。 和 预期 一 样 吗 ? 

。 测试 的 极端 和 边缘 情况 以 证 明 这 些 得 到 妥善 处 理 ， 不 扰乱 预期 的 功能 。 

。 试 验 滥用 的 例子 ; 对 于 输入 ， 这 些 都 将 被 模糊 测试 

基本 上 ， 这 些 测试 必须 检查 所 指定 的 确切 行为 。 就 是 说 ， 把 规范 变 成 一 个 测试 用 例 : 当 
用 户 尝试 加 载 受 保护 的 页 面 时 ， 有 没有 验证 要 求 ” 当 输入 正确 的 登录 信息 时 ， 要 求 满足 中? 
当 输 入 无 效 凭 据 时 ， 拒 绝 验 证 吗 ? 

边缘 情况 是 最 困难 的 。 这 可 能 是 默认 行为 的 测试 或 者 未 明确 指定 的 行为 的 测试 。 在 验证 
的 情况 下 ， 如 果 一 个 页 面 没有 选择 保护 ，Web 服务 器 是 默认 的 吗 ? 如 果 保 持 配置 默认 ， 尝 试 
两 种 二 元 默认 : 无 页 面 保护 对 比 所 有 页 面 的 保护 。 

这 个 例子 的 另 一 边缘 情况 ， 可 能 用 无 效 的 用 户 和 垃圾 ID 来 测试 验证 ， 或 试图 重 放 会 话 令 
牌 。 会 话 令 牌 通常 有 一 个 超时 。 如 果 浏 览 器 和 服务 器 上 的 时 钟 不 同步 会 发 生 什 么 ”是 令 牌 仍 
然 有 效 ， 还 是 已 过 期 ? 这 对 普通 用 户 都 可 能 发 生 ， 但 通常 不 会 。 

最 后 ， 许 多 功能 将 被 攻击 ， 特 别 是 安全 功能 。 换 言 之 ， 任 何 可 滥用 的 地 方 都 可 能 被 滥用 。 
攻击 者 会 登 上 一 个 登录 页 面 ， 试 图 暴力 破解 密码 。 测 试 计划 不 仅 要 包括 任何 锁定 功能 测试 ， 
还 应 该 能 发 现任 何 处 理 多 个 快速 登录 而 没有 失败 或 崩溃 的 应 用 程序 或 认证 服务 中 的 缺陷 。 

根据 我 们 的 经 验 ， 最 有 经 验 的 高 端 人 才 会 明白 “符合 设计 “的 测试 ， 以 及 边缘 情况 。 但 
是 滥用 案件 可 能 是 一 个 新 概念 ， 它 将 需要 支持 、 培 训 ， 也 许 还 有 导师 。 


9.5.2 动态 测试 


动态 测试 是 指 执行 源 代 码 并 观察 它 如 何 执行 特定 的 输入 。 因 为 所 有 活动 都 在 这 
类 程序 的 执行 中 验证 ， 所 以 动态 测试 是 至 关 重要 的 。0 


动态 测试 是 执行 程序 的 测试 。 在 安全 上 ， 动 态 检测 一 般 从 攻击 者 的 角度 来 部 署 。 从 长 期 
纯粹 的 意义 上 说 ， 在 执行 的 程序 上 的 任何 测试 是 “动态 的 ” 。 这 包括 漏洞 扫描 ， 自 定义 代码 漏 
洞 扫描 (通常 称 为 应 用 程序 扫描 )， 模 糊 测 试 ， 以 及 任何 形式 的 攻击 和 渗透 测试 。 下 一 节 讨论 
SDL 中 攻击 和 渗透 测试 的 地 方 。 由 于 所 需 的 技能 和 通常 的 费用 ， 我 们 已 预 留 攻击 和 渗透 测试 
作为 一 个 特例 。 不 过 ,我们 鼓励 任何 能 进行 大 规模 攻击 和 渗透 的 组 织 做 尽 可 能 多 的 测试 。 在 
现实 世界 的 测试 中 ,熟练 的 攻击 和 渗透 测试 人 员 总 是 胜 过 Web 漏洞 扫描 器 的 结果 与 典型 的 模 
糊 输入 。 对 于 大 多 数组 织 而 言 ， 雇 用 熟练 从 业者 的 费用 和 它们 不 能 在 多 个 组 织 和 多 个 项 目 中 
规范 ， 在 某 种 程度 上 阻止 了 攻击 和 渗透 测试 。 
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动态 分 析 基于 系统 的 执行 (二进制 码 )， 通 常 需要 用 到 工具 。8 动 态 分 析 的 优点 如 下 。 
。 具 有 检测 出 静态 分 析 检 测 不 到 的 依赖 关系 的 能 力 ， 例 如 ， 动 态 依赖 使 用 反射 依赖 注 
人 等 。 

。 人 允许 收集 暂时 性 信息 。 

。 可 以 处 理 正在 运行 的 数值 。 

。 在 运行 时 环境 上 分 析 漏 洞 。 

。 可 以 使 用 自动 化 工具 来 提供 扫描 的 灵活 性 。 

。 人 允许 分 析 你 看 不 到 源码 的 应 用 程序 。 

。 可 以 识别 在 静态 分 析 中 漏 报 的 漏洞 。 

。 人 允许 验证 静态 代码 分 析 结 果 。 

。 在 任何 应 用 程序 上 都 能 执行 1。 

1. 网 络 扫描 

漏洞 扫描 器 通常 分 为 两 大 类 : 一 种 是 签名 测试 针对 支持 应 用 程序 执行 的 运行 时 间 ， 另 一 
种 是 专注 于 自 定义 应 用 程序 代码 的 扫描 仪 。 前 者 通常 应 用 于 基础 设施 ， 以 确保 适当 的 修补 和 
配置 定期 完成 ， 并 保持 最 新 。 这 些 应 用 程序 将 被 托管 在 内 部 (如 本 章 前 面 所 述 )， 运 行 时 漏洞 
扫描 器 对 于 保持 基础 设施 安全 状况 维持 至 关 重要 。 这 种 扫描 仪 也 可 以 运行 在 一 个 设备 类 型 的 
项 目 上 ， 其 默认 配置 没有 漏洞 9。。 这 种 类 型 的 漏洞 扫描 器 也 可 能 被 用 来 对 付 正在 运行 的 设备 ， 
保证 设备 提供 了 一 个 适当 的 计划 部 署 的 安全 状况 。 然 而 ， 对 于 许多 不 属于 这 些 类 别 的 软件 项 
H, 一 个 运行 时 漏洞 扫描 器 在 测试 计划 内 的 价值 可 能 有 限 。 

如 前 所 述 ， 对 于 Web 服务 器 ， 自 定义 代码 或 应 用 程序 漏洞 扫描 器 是 必 备 的 。 如 果 软 件 中 
已 经 包含 了 Web 服务 器 ， 应 用 程序 漏洞 扫描 器 将 帮助 查 出 这 类 问题 ， 即 攻击 者 可 能 会 对 自己 
感 兴趣 的 Web 应 用 程序 的 代码 进行 攻击 。 我 们 相信 ， 每 一 个 内 容 块 ， 无 论 是 动态 还 是 静态 
的 ， 都 通过 软件 的 Web 服务 器 提供 服务 ， 这 些 Web 服务 器 必须 要 经 过 应 用 程序 漏洞 扫描 器 
的 测试 。 考 虑 到 今天 网 络 攻击 的 水 平 ， 如 果 Web 服务 器 暴露 在 公共 网 络 上 ， 应 用 程序 不 经 过 
扫描 是 无 法 运行 的 。 攻 击 是 肯定 的 ; 只 是 时 间 问 题 。 目 前 的 估计 是 ， 一 次 攻击 最 短 将 只 有 30 
秒 ， 而 最 长 不 会 超过 8 小 时 。 攻 击 者 非常 迅速 地 利用 新 发 现 的 XSS 错误 和 类 似 的 错误 。 这 正 
是 Web 漏洞 扫描 需 关 注 的 各 种 错误 。 

然而 ，Web 漏洞 扫描 器 的 有 效 使 用 ， 并 不 是 一 个 微不足道 的 操作 。 技 能 与 特定 工具 是 必 
备 的。 同时 ， 十 分 熟悉 如 何 结构 化 和 构建 Web 应 用 程序 可 以 帮助 测试 人 员 优 化 工具 中 的 测试 
套件 。 进 一 步 ， 熟 悉 典 型 的 Web 漏洞 将 提供 两 个 方面 的 帮助 : 第 一 ， 适 当 的 测试 套件 配置 应 
该 在 保障 应 用 程序 和 它 的 预期 用 途 的 基础 上 ; 第 二 ， 扫 描 的 结果 可 能 需要 合乎 要 求 。 有 两 个 
值得 一 提 的 问题 。 根 据 应 用 程序 、 代码 和 工具 ， 结 果 可 能 是 « “噪音 ”。 也 就 是 说 ， 可 能 存在 必 
须 被 删除 的 误 判 。 我 们 已 经 看 到 很 少 使 用 不 考虑 误 判 损失 的 和 误 判 率 高 的 Web 漏洞 扫描 器 。 
此 外 ， 在 撰写 本 书 时 大 多 数 Web 漏洞 扫描 器 尝试 每 种 类 型 问题 的 变 体 。 大 多 数 工 具 将 作为 
另 一 个 漏洞 报告 每 一 个 变 体 。 尽 管 报告 多 个 漏洞 ， 但 所 有 的 变 体 可 能 源 于 代码 中 的 一 个 bug。 


这 里 ， 工 具 指 为 了 分 析 而 向 代码 中 添加 的 诊断 消息 和 停止 点 。 

O 这 是 因为 一 个 应 用 程序 可 能 会 包括 一 个 运行 时 栈 ， 包 括 支持 操作 系统 及 其 服务 。 除 非 整个 操作 系统 是 专 有 
的 ， 和 否则 可 用 的 工具 可 能 包括 适当 的 漏洞 签名 来 进行 测试 。 在 一 个 完全 专 有 的 操作 系统 的 情况 下 ， 可 能 需 
要 建立 专门 的 工具 。 
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对 于 许多 工具 ， 在 漏洞 和 实际 编程 错误 之 间 存 在 多 对 一 的 关系 ; 一 个 输入 验证 错误 可 能 会 产 
生 许多 “漏洞 ” 。 因 此 ， 测 试 人 员 和 / 或 编程 团队 需要 限定 结果 以 找到 实际 的 编程 错误 。 

对 于 任何 将 运行 网 络 漏洞 扫描 工具 的 测试 人 员 需 要 培训 和 实践 。 像 静态 分 析 工 具 一 样 ， 
当 网 络 漏洞 扫描 工具 简单 地 加 入 项 目 团队 时 ， 其 结果 可 能 会 令 人 失望 。 相 反 ， 我 们 不 止 一 
次 发 现 ， 一 个 成 功 的 方法 都 是 从 小 处 和 有 限 的 地 方 开始 的 。 选 择 可 用 于 试验 的 项 目 ， 这 将 
从 网 络 扫描 那里 获得 益处 。 发 现 对 安全 测试 感 兴趣 的 人 ， 甚 至 希望 提高 他 们 的 职业 可 能 性 。 
然后 ， 工 具 的 漏洞 测试 套件 工具 减弱 到 只 有 制造 商 才 认为 测试 提供 极 高 信心 一 一 实现 超过 
80% 的 结果 ， 也 就 是 说 ， 只 有 不 到 20% 的 误 报 率 。 我 们 甚至 开始 只 使 用 误 报 率 低 于 10% 的 
那些 测试 套件 。 

这 样 ， 测 试 人 员 将 积极 学 习 工 具 ， 工 具 会 产生 高 信任 度 的 结果 ， 可 以 依靠 这 些 工 具 找到 
真正 需要 修复 的 缺陷 。 在 这 个 过 程 中 每 个 人 的 信心 和 工具 最 终 将 会 显著 提高 。 从 这 个 强大 的 
地 方 开始 ， 测 试 人 员 和 开发 团队 会 更 加 愿意 尝试 他 们 可 以 容忍 多 大 的 误 报 率 ， 这 仍然 得 到 有 
用 的 结果 。 不 同 的 项 目 需要 找到 自己 的 平衡 点 。 

从 这 些 有 限 、 试 行 的 起 点 ， 推 出 网 络 漏洞 扫描 的 团队 将 获得 关于 起 作用 的 、 不 起 作用 的 、 
可 能 会 遇 到 阻力 的 重要 信息 。 青 一 次 ,我 们 反对 只 使 用 委托 工具 ， 然 后 没有 任何 经 验 和 实验 ， 
没有 适当 的 训练 补给 ， 就 置之不理 。 我 们 看 到 了 太 多 的 程序 在 这 种 方式 中 挣扎 。 相 反 ， 从 小 
事 做 起 ， 扩 大 之 前 取得 成 功 和 自信 。 在 做 任何 特定 的 测试 需求 之 前 ， 一 个 好 的 临界 点 将 收获 
60% 的 自愿 参与 度 。 

2. 模糊 测试 


模糊 测试 或 模糊 是 一 种 黑 盒 软件 测试 技术 ， 它 的 主要 功能 是 用 自动 化 的 办 法 注 
入 畸形 数据 来 寻找 实现 上 的 bugs l 


由 于 非 Web 输入 的 多 样 性 ， 找 到 一 种 能 够 适用 于 各 种 输入 方式 的 工具 是 不 切实 际 的 。 有 
的 开发 团队 可 能 会 编写 他 们 自己 的 测试 工具 。 然 而 ， 为 了 将 这 种 策略 作为 一 种 安全 战略 ， 工 
具 设 计 者 和 使 用 者 必须 对 已 经 知道 的 各 种 输入 攻击 有 大 量 的 知识 。 而 由 于 定期 更 新 以 应 对 新 
的 攻击 方式 、 实 现 策略 转移 、 改 变现 有 的 攻击 方式 ， 因 此 所 有 攻击 场景 必须 跟着 进行 更 新 。 
这 正 是 工具 厂商 做 的 。 这 样 的 策略 对 大 多 数组 织 可 能 是 不 切实 际 的 。 

许多 攻击 方法 通过 模糊 测试 被 发 现 ， 即 使 用 针对 输入 攻击 层面 的 模糊 工具 。 一 旦 一 次 意 
外 的 反应 是 从 程序 的 输入 获取 的 ， 攻 击 者 (或 研究 员 ) 就 可 以 检查 有 问题 的 输入 和 程序 的 行为 
来 判断 该 漏洞 是 什么 ， 以 及 如 何 最 好 地 利用 它 。 

值得 庆幸 的 是 ， 软 件 测 试 人 员 不 需要 很 深入 地 探索 这 个 。 如 果 输 入 产生 不 正确 的 行为 ， 
那么 该 程序 没有 充分 防御 : 发 现 了 一 个 bug。 需 要 理解 这 种 情况 。 这 正 是 模糊 测试 的 重点 : 一 
个 输入 导致 一 个 不 正确 的 行为 。 对 于 软件 ， 特 别 是 安全 软件 ， 必 须 能 够 优雅 地 处 理 输入 的 任 
何 数据 序列 。 如 果 没 有 很 好 地 处 理 不 适当 或 不 期 望 的 输入 将 会 让 用 户 关注 度 最 小 化 。 更 近 一 
步 说 明 ， 这 个 程序 存在 漏洞 。 

模糊 测试 程序 中 的 每 个 输入 就 是 描述 需要 被 测试 数据 的 范围 的 问题 。 大 多 数 模糊 测试 工 
具 处 理 多 种 不 同类 型 的 输入 。 测 试 仪 设 定 了 输入 的 类 型 和 系列 。 在 模糊 工具 限定 范围 内 随机 
化 ， 连 续 发 送 不 正确 的 输入 ， 就 像 可 能 是 在 搜寻 漏洞 的 攻击 者 。 

模糊 工具 会 自动 尝试 许多 变化 的 输入 过 程 。 配 置 文件 可 以 模糊 处 理 ， 命 令 行 界面 可 以 模 
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糊 处 理 ，API 可 以 模糊 处 理 ，Web 服务 、 网 络 协议 等 都 可 以 模糊 处 理 。 其 实 ， 任 何 类 型 的 输 
入 ,包括 Web 服务 器 ， 都 可 以 模糊 处 理 。 由 于 有 大 量 可 用 于 在 应 用 程序 中 扫描 Web 服务 器 的 : 
工具 ， 因 此 我 们 把 重点 放 在 对 其 他 类 型 的 输入 进行 模糊 处 理 。 如 果 一 个 机 构 能 够 研发 出 功能 
强大 的 模糊 工具 ， 没 有 理由 不 让 这 个 工具 对 每 个 输入 (包括 Web 服务 器 ) 进行 适 配 。 根 据 我 
们 的 经 验 ， 它 能 够 区 分 可 以 扫描 的 Web 输入 和 其 他 没有 直接 扫描 工具 的 输入 。 因 为 其 他 输入 
没有 更 加 模糊 的 工具 来 适应 它 。 
模糊 测试 是 一 个 间接 类 型 的 输入 验证 ， 而 漏洞 扫描 器 高 度 集中 于 已 知 的 攻击 方法 。 一 

完整 的 安全 检测 程序 会 识别 每 种 技术 的 适用 性 并 适当 地 应 用 它们 。 有 一 些 重 芋 ; coun 
同时 响应 这 两 种 类 型 的 工具 。 


9.5.3 ”攻击 和 渗透 测试 


攻击 和 渗透 测试 (A&P) 一 般 是 由 像 最 熟练 的 攻击 者 一 样 的 测试 人 员 完 成 的 。 这 些 测试 人 
员 会 侦查 目标 系统 ， 识 别 攻 击 表 面 。 同 时 这 些 测试 人 员 将 利用 那些 专家 级 的 攻击 者 常用 的 工 
具 去 识别 那些 明显 的 错误 以 及 隐藏 在 系统 中 的 微妙 的 逻辑 错误 。 相 比较 而 言 ， 逻 辑 错误 是 最 
难以 辨别 的 。 所 有 错误 〈 除 了 最 简单 的 逻辑 错误 ) 都 需要 人 去 识别 。 

由 于 攻击 和 渗透 测试 耗 时 耗 力 ， 所 以 我 们 将 其 分 离 了 出 来 。 渗透 测试 人 员 获 到 高 额 的 新 
酬 总 是 有 原因 的 。 要 得 到 高 质量 的 结果 是 需要 极 高 的 理解 力 和 技巧 的 。Alan Paller 曾 不 经 意 
间 说 当今 熟练 的 渗透 测试 员 不 过 1500 人 左右 。 我 们 不 知道 到 底 多 少 , 但 是 目前 解决 这 类 工作 
所 需要 的 高 技术 测试 人 员 是 极其 匮乏 的 。 当 前 的 情况 可 能 在 未 来 一 段 时 间 都 不 会 改变 。 由 于 
这 类 人 员 的 稀缺 ， 所 以 我 们 建议 只 针对 那些 可 能 面临 严重 攻击 的 核心 部 分 和 主要 发 行 版 进行 
攻击 与 渗透 测试 。 

如 果 你 的 组 织 拥有 充足 的 攻击 和 渗透 测试 资源 ， 而 熟练 的 人 力 因素 是 安全 方面 最 强大 的 
测试 力量 。 任 何 可 以 测试 的 都 应 该 被 测试 。 然而， 在 我 们 的 众多 调查 报告 中 我 们 可 以 看 到 测 
试 人 员 大 多 没有 这 方面 的 能 力 ， 没 有 花 足 够 的 时 间 去 理解 测试 目标 、 运 行 默认 测试 和 报告 数 
以 百 计 的 漏洞 。 这 类 测试 远 没 有 达到 预期 目的 。 开 发 团队 可 能 看 到 开始 的 几 个 漏洞 ， 声 称 它 
们 是 误 报 的 ， 然 后 停止 测试 。 这 是 对 充满 可 能 的 漏洞 (而 不 是 真实 问题 ) 的 报告 的 典型 回应 。 
一 般 来 说 ， 在 这 些 测试 中 ， 攻 击 测试 没有 调整 到 正确 的 目标 或 者 可 能 这 个 目标 和 部 署 时 的 配 
置 不 一 致 。 而 这 时 ， 所 做 的 一 切 都 只 是 在 浪费 大 家 的 时 间 。 

相反 ， 应 该 将 你 的 时 间 和 精力 放 在 最 具 价 值 的 目标 上 。 不 能 出 现 问题 的 关键 代码 从 攻击 
和 渗透 测试 那里 受益 很 大 。 在 主要 版 本 发 布 前 或 者 重大 修改 后 我 们 都 能 从 中 受益 不 少 。 这 就 
是 我 们 建议 的 可 以 从 熟练 的 攻击 与 渗透 测试 中 获取 最 大 受益 的 地 方 。 

由 于 一 次 攻击 和 渗透 测试 会 消耗 很 长 时 间 ,, 所 以 当 进 行 高 密度 的 测试 时 一 定 要 充分 考虑 
代码 的 修改 频率 。 当 这 个 修改 (更 新 ) 频率 高 于 测试 频率 时 ， 可 能 在 测试 完成 前 又 引入 了 新 
的 漏洞 。 为 了 得 到 最 佳 的 结果 ， 这 两 个 因素 一 定 得 做 好 权衡 。 一 般 来 说 ， 即 使 每 天 都 有 更 新 ， 
但 是 不 会 有 大 的 发 行 版 ， 更 不 会 有 主要 修订 版 的 出 现 。 因 此 ， 对 核心 关联 度 较 大 的 代码 段 进 
行 测试 是 一 个 很 好 的 投资 。 

那 什么 是 关键 代码 呢 ? 我 们 已 经 看 到 过 很 多 关于 “关键 ”的 定义 : 

。 最 高 收益 系统 

。 最 易 受 攻击 系统 
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。 最 大 的 系统 

。 投 资 最 大 的 系统 

。 最 具 战 略 的 系统 

。 监管 最 严 苛 的 系统 

。 风 险 最 高 的 系统 

。 处 理 最 敏感 数据 的 系统 

以 上 每 一 种 定义 都 可 以 由 其 他 的 系统 定义 轻易 地 推翻 。 一 个 可 行 的 办 法 是 让 商业 领袖 或 
者 组 织 者 决定 那 类 系统 是 关键 的 。 多 种 因素 可 能 都 得 考虑 在 内 。 以 上 没有 一 种 定义 是 相互 排 
斥 的 ， 不 同 的 因素 可 以 给 系统 的 关键 性 增加 权重 。 我 们 建议 一 种 开放 的 方式 。 如 果 组 织 可 以 
承受 一 个 更 大 的 网 ， 那 么 从 长 远 看 它 会 更 好 。 一 个 组 织 不 想 因为 仅仅 一 个 关键 性 因素 而 错过 
一 个 重要 的 系统 。 


9.5.4 独立 测试 


可 能 有 的 情况 下 ， 利 用 第 三 方 安全 测试 是 有 益 的 。 如 果 客 户 对 产品 的 安全 性 特别 敏感 ， 
在 购买 之 前 ， 他 们 可 能 需要 一 个 有 关系 统 安全 健康 的 第 三 方 认证 。 

在 顾客 对 安全 性 证 明 的 需求 显而易见 的 情况 下 ， 我 们 已 经 使 用 的 一 个 成 功 方法 ， 就 是 把 
第 三 方 认 证 作为 已 售 产品 的 直接 成 本 。 当 系统 在 没有 第 三 方 认证 的 情况 下 不 能 出 售 给 很 多 客 
户 时 ， 第 三 方 认 证 被 认为 是 为 这 些 客户 建立 系统 的 成 本 的 一 部 分 。 一 份 认 证 报告 通常 可 用 于 
许多 客户 。 

事实 上 ， 有 时 获得 关于 系统 的 独立 视图 也 有 好 处 。 正 如 所 有 人 类 的 努力 一 样 ， 如 果 评 佑 
方 过 于 熟悉 系统 ， 他 们 可 能 会 错过 重要 的 因素 。 运 用 一 些 独立 的 分 析 将 会 让 关注 点 集中 到 真 
正 的 问题 上 。 

“独立 ”并 不 一 定 意味 着 完全 置身 组 织 外 部 。 我 们 只 引入 一 名 没 见 过 这 个 系统 而 且 不 知道 
这 件 事 的 安全 架构 师 就 成 功 了 。 如 果 组 织 够 大 ， 通 常 有 资源 负责 可 用 来 检查 工作 的 蔡 代 系统 。 

值得 再 提 的 是 ， 安 全 架构 师 拥 有 的 最 强 的 工具 之 一 是 同行 审查 。 工 作 中 很 容易 错过 一 些 
重要 的 东西 。 我 们 在 工作 中 已 经 制定 了 多 个 组 织 中 同行 审查 的 机 制 ， 例 如 ， 分 析 中 出 现 的 不 
确定 的 问题 需要 一 些 有 经 验 者 达成 共识 来 解决 。 这 样 ， 每 个 评估 员 可 以 让 他 或 她 的 工作 得 到 
检查 和 验证 。 

如 果 这 里 列 出 的 任何 测试 方法 中 有 任何 的 不 确定 性 ， 获 得 一 个 独立 的 视图 可 以 帮助 验证 
该 工作 或 发 现 该 方法 中 的 任何 漏洞 。 


9.6 敏捷 : 冲刺 


我 们 认为 ， 使 用 敏捷 过 程 生产 安全 软件 的 关键 是 将 安全 集成 到 来 自 于 架构 的 敏捷 过 程 中 ， 
该 架构 贯穿 着 测试 。 而 不 是 将 瀑布 开发 强制 置 于 敏捷 过 程 之 上 ， 安 全 必须 是 敏捷 的 ; 安全 从 
业 人 员 必 须 放手 刚性 流程 ,并 进入 是 敏捷 开发 精 角 的 对 话 和 协作 中 。 认 识 到 ,我 们 必须 相信 
敏捷 开发 团队 并 和 该 团队 一 起 工作 ， 同 时 利用 敏捷 过 程 ， 而 不 是 抵制 敏捷 过 程 及 其 从 业 人 员 。 
图 9-12 演示 了 ， 在 这 种 Scrum 情况 下 ， 原 型 SDL 如 何 显示 图 9-1 中 的 变化 ， 以 反映 敏捷 
过 程 。 需 求 和 架构 是 敏捷 周期 或 “冲刺 ”的 前 端 流程 。 架 构 加 入 反复 的 冲刺 周期 中 。 在 一 系 
列 的 冲刺 结束 时 ， 运 用 抢先 测试 。SDL 中 的 所 有 其 他 任务 发 生 在 每 一 次 冲刺 中 。 
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图 9-12 敏捷 SDL 


一 轮 冲刺 是 一 个 开发 周期 ， 在 该 周期 中 建立 代码 块 (用 户 故 事 )。 每 个 Scrum 团队 选择 团 
队 冲 刺 的 周期 。 典 型 地 ， 冲 刺 持续 时 间 大 约 为 2 ~ 6 周 。 每 个 冲刺 周期 正好 一 样 长 ; 这 允许 
实现 开发 的 节奏 。 在 冲刺 中 任何 未 完成 的 项 都 会 被 放 入 待 建 的 未 完成 项 清单 。 在 冲刺 开始 时 ， 
一 些 设计 工作 将 发 生 ; 至 少 充分 的 设计 需要 进行 ， 以 便 开始 编码 。 尽 管 如 此 ,设计 可 以 改变 
一 个 冲刺 展开 。 此 外 ， 在 冲刺 期 间 一 有 要 测试 的 东西 ， 测 试 就 开始 了 。 以 这 种 方式 , 设计 、 
编码 和 测试 并 行进 行 。 在 冲刺 结束 后 ， 团 队 将 在 持续 的 改进 中 检查 该 周期 的 结果 。 

在 Scrum 中 ， 在 用 户 故 事 创建 的 过 程 中 考虑 要 建立 什么 。 这 就 是 “ 早 ” 的 一 部 分 。 与 产 
品 所 有 者 “的 密切 关系 对 于 将 安全 用 户 故事 写 入 未 完成 清单 至 关 重 要 。 这 种 关系 在 未 完成 清单 
优先 级 化 的 过 程 中 也 十 分 重要 。 在 冲刺 计划 会 议 期 间 ， 将 项 目 引 入 会 议 来 构建 ， 大 量 的 设计 
被 确定 下 来 。 要 么 通过 直接 参与 要 么 通过 委派 代表 ， 使 安全 性 成 为 过 程 的 一 个 组 成 部 分 。 

安全 专家 需要 让 自己 参与 进来 ， 在 整个 冲刺 阶段 来 回答 有 关 实 施 细 则 和 安全 地 建立 用 户 
故事 的 正确 方法 的 问题 。 让 我 们 的 设计 出 现 。 让 设计 安全 地 出 现 。 作 为 Scrum 团队 中 受 人 尊 
和 敬 的 一 员 ， 早 期 发 现 安全 缺失 会 被 赞赏 ， 而 不 是 抵制 。 设 计 和 实施 被 改进 : 设计 大 多 数 情况 
下 将 更 加 正确 。 

优先 级 对 话 的 一 部 分 必须 是 “给 定 通常 的 时 间 和 预算 限制 ， 可 能 建立 什么 ”和 “必须 建 
Mielina 之 间 的 相互 作用 。 安 全 专家 参与 进来 ， 不 是 以 “ 唯 
一 正确 的 方法 "， 而 是 以 一 种 态度 : ”我们 如 何 共同 完成 这 一 切 ， 并 做 得 足够 好 ， 以 满足 要 求 ?” 

最 后 ， 由 于 编写 安全 代码 更 需要 自律 和 实践 ， 因 此 适当 的 测试 和 漏洞 保证 措施 需要 作为 
每 一 个 冲刺 的 一 部 分 。 我 们 认为 这 些 需要 作为 “完成 ”的 定义 的 一 部 分 。 根 据 前 面 讨论 的 七 
个 确定 问题 ， 所 提 到 的 “完成 ” Be Recall SOP a: 

完成 的 标准 

1. 手动 检查 过 所 有 的 代码 (并 且 修 复 所 有 漏洞 )。 

a. 同行 审查 过 所 有 代码 

日 ”产品 负责 人 在 Scrum 是 一 个 正式 的 角色 。 产 品 负责 人 需要 采纳 客户 和 用 户 的 观点 。 她 或 他 负责 创建 用 户 故 


事 和 优先 级 。 产 品 所 有 者 可 能 是 一 个 独立 的 开发 团队 的 成 员 ， 一 位 资深 架构 师 (尽管 一 般 不 是 ) 或 产品 经 
H, 或 者 类 似 的 人 员 。 他 不 应 该 是 职权 在 开发 团队 成 员 之 上 的 人 。 
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b. 资深 或 者 安全 专家 审核 过 核心 代码 。 

2. 静态 分 析 过 所 有 代码 。 

3. 通过 了 所 有 功能 测试 。 

4. 动态 测试 过 所 有 的 Web 服务 器 接口 (并且 修复 所 有 漏洞 )。 

5. 模糊 了 所 有 非 Web 程序 的 输入 路 径 〈 并 且 修 复 所 有 漏洞 )。 

每 一 个 指明 了 “完成 ”的 安全 性 定义 的 条 目 都 将 在 相关 部 分 具体 描述 。 

在 一 个 快速 的 开发 过 程 中 ， 每 个 人 都 和 安全 息息相关 。 禁 止 安全 人 员 将 安全 问题 抛 之 脑 
后 还 期 待 最 终 能 得 到 一 个 安全 的 成 果 。 开 发 团队 可 能 会 认为 一 个 问题 是 他 们 已 完成 工作 中 的 
一 个 插入 部 分 。 与 其 说 是 合作 的 安 至 ， 不 如 说 这 个 结果 是 敏捷 团队 部 分 人 员 的 阻力 。 

更 加 有 效 的 解决 方式 是 将 问题 拿 过 来 解决 掉 。 要 把 安全 性 考虑 到 众多 问题 和 重要 项 目的 
总 体 目 标 中 。 安 全 专家 应 该 牢记 ， 在 开发 过 程 中 总 有 需要 做 出 有 取舍 的 决策 。 要 想 取 得 所 有 
项 目 (包括 安全 方面 ) 的 成 功 ， 合 作 团队 不 仅仅 需要 把 安全 性 放 在 其 恰当 的 位 置 进行 考虑 ， 还 
要 更 多 地 发 掘 创造 性 的 解决 方案 。 安 全 人 员 不 惜 弄 脏 自 己 的 双手 ， 将 虚拟 的 指甲 里 面 粘 上 油 
脂 就 是 为 了 获取 Scrum 团队 的 信任 和 支持 。 

当然 ， 所 有 开发 团队 都 会 面临 的 一 个 问题 就 是 对 即将 进行 的 工作 设置 一 些 优先 级 ， 对 于 
安全 类 项 目 尤其 如 此 。 一 个 鲁 棒 的 、 基 于 风险 的 方法 将 有 助 于 把 实际 的 影响 纳入 优先 级 方程 
式 中 。 

基于 我 们 的 经 验 ， 如 果 敏 捷 团 队 拥 有 足够 的 风险 指导 来 了 解 到 : 针对 其 他 任务 来 说 ， 安 
全 项 拥有 更 高 的 优先 级 ， 那 这 个 团队 就 可 以 做 出 更 好 的 决策 。 有 一 个 经 典 的 例子 :“ 这 是 一 个 
可 能 导致 损失 的 漏洞 ， 得 立马 修复 它 "， 但 这 长 期 以 来 都 没 能 影响 到 决策 者 。 应 该 避免 忧虑 、 
不 确定 性 以 及 怀疑 。 

相反 ， 不 需要 考虑 信息 安全 方面 损失 的 可 能 性 ， 而 应 考虑 实际 业务 对 系统 的 影响 ， 因 为 
它 将 使 用 预期 的 部 署 来 运行 。 关 注 影响 的 方式 将 进一步 有 利于 合理 决策 的 制定 。 安 全 队列 中 
可 能 有 一 些 条 目 因为 其 他 重要 特性 而 推迟 。 团 队 的 信任 建立 在 包括 安全 专家 在 内 的 每 一 个 人 
员 的 充分 参与 下 。 当 一 个 安全 专家 成 为 敏捷 团队 的 一 部 分 时 ， 每 个 人 都 取得 了 胜利 ， 安 全 也 
得 到 了 保障 。 实 际 上 ， 当 安全 问题 得 到 慎重 考虑 并 且 所 做 决定 是 基于 风险 情境 时 ， 安 全 具有 
如 下 两 大 胜利 的 标志 。 

1. 安全 成 为 决策 结构 的 一 部 分 并 且 占 据 一 席 之 地 。 它 不 再 是 一 个 附加 的 东西 。 对 于 安全 
的 考虑 成 为 构建 软件 的 一 种 心态 而 不 是 外 在 附加 的 东西 。 

2. 如 果 风 险 得 到 了 慎重 的 考虑 ， 那 么 高 风险 的 条 目 应 该 优先 考虑 。 按 弃 每 个 安全 问题 都 
是 同等 重要 的 想法 可 以 让 那些 真正 危险 的 条 目 (极为 罕见 ) 得 到 应 有 的 重视 。 那 些 风 险 较 小 的 
条 目 可 以 根据 相对 重要 性 进行 适当 的 安排 。 

对 于 大 多 数 机 构 来 说 ， 他 们 拥有 的 娴熟 安全 专家 数量 少 之 又 少 。 因 为 数量 太 少 ， 所 以 不 
是 每 一 个 Scrum 团队 都 可 以 拥有 自己 的 安全 专家 。 通 常 一 个 安全 专家 负责 好 几 个 团队 。 这 些 
专家 需要 将 自己 的 技能 按照 时 间 分 片 分 给 不 同 项 目 。 需 要 给 这 些 人 员 分 配 不 同 工 作 的 切换 时 
间 来 保证 他 可 以 在 各 个 工作 中 切换 自如 。 优 秀 的 项 目 管理 技能 是 必需 的 。 我 们 可 以 通过 安全 
专家 或 者 项 目 管理 实践 实现 这 一 点 。 项 目 经理 有 助 于 调度 和 交付 那些 使 矩阵 分 配 策略 更 加 有 
效 的 任务 。 

然而 ， 多 个 项 目 只 分 配 一 个 安全 专家 是 极其 危险 的 。 最 重要 的 是 ， 工 作 量 过 重 实在 是 太 
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常见 了 。 如 果 给 一 个 安全 专家 分 配 太 多 的 项 目 ， 他 就 不 得 不 去 研究 自己 该 如 何 拥有 足够 的 时 
间 去 处 理 下 一 个 项 目 ， 同 时 还 要 在 各 个 项 目 切换 之 前 重新 梳理 一 下 每 个 项 目的 具体 内 容 。 这 
样 的 话 ， 其 实 没 有 任何 一 个 项 目 真正 完成 了 。 我 们 不 仅 没有 时 间 去 培养 更 多 的 安全 专家 ， 而 
且 如 果 没 有 持续 的 技术 发 展 ， 我们 就 不 会 有 安全 专家 的 发 展 。 如 果 安 全 专家 已 经 不 堪 重 负 ， 
那么 他 的 研究 时 间 就 将 会 大 大 地 减少 ， 从 而 导致 整个 项 目的 月 江 。 更 有 其 者 ， 如 果 安 全 专家 
没有 时 间 来 认真 彻底 地 研究 问题 ， 他 将 做 出 很 多 不 好 的 决策 。 

避免 超 负 荷 工 作 ; 我 们 需要 善于 观察 细节 ， 因 为 每 个 人 对 于 任务 量 过 多 的 定义 都 有 着 不 
Tri} [SEL 

太 多 的 超 负荷 工作 将 导致 项 目 被 迫 推迟 ， 因 为 整个 团队 都 在 等 待 安全 专家 的 参与 。 安 全 
专家 将 成 为 团队 速度 的 瓶颈 。 或 者 ， 更 加 粳 糕 的 是 ， 设 计 和 实现 就 不 会 在 所 需 安全 专家 和 帮 
助 下 开展 。 这 样 总 会 导致 产生 出 不 安全 、 有 安全 人 逻辑 错位 或 者 高 价 返工 的 产品 出 来 。 这 些 正 
是 敏捷 过 程 中 经 常会 遇 到 并 需要 解决 的 问题 。 

实际 上 ,一 些 超 负荷 工作 的 安全 人 员 可 能 会 以 一 种 不 恰当 的 参与 方式 来 弥补 那些 被 抛 出 
的 象牙 塔 宣言 。 敏 捷 过 程 的 标志 和 本 质 是 协作 与 信任 ， 然 而 ， 这 两 者 却 被 安全 人 员 认 为 非 高 
效 而 被 名 略 了 。 如 果 没 有 足够 的 时 间 建 设 团 队 合 作 意 识 ， 安 全 任务 过 重 的 人 将 没有 足够 的 时 
间 去 很 好 地 融入 每 一 个 Scrum 团队 。 如 上 所 述 ， 当 安全 人 员 明 白 所 有 的 问题 必须 由 整个 团队 
共同 解决 时 ， 安 全 就 拥有 了 一 席 之 地 ， 而 并 不 仅 是 一 个 附加 部 分 。 正 是 那些 拥有 安全 专家 的 
敏捷 团队 中 的 安全 项 目 ， 像 敏捷 团队 功能 和 自治 中 的 附加 部 分 一 样 ， 正 在 试图 停止 。 

然而 ， 用 足够 多 的 安全 人 员 来 调度 虚拟 团队 完成 多 个 项 目 还 是 有 可 能 的 。 我 们 已 经 多 次 
见证 过 这 些 项 目 成 功 完成 ， 前 提 是 避免 超 负 荷 工作 。 事 实 上 ， 我 们 应 该 记 住 , 团队 精神 需要 
时 间 和 经 验 来 培养 。 在 形成 和 学 习 的 过 程 中 总 会 产生 错误 与 失误 ,但 这 些 是 取得 成 功 的 必 经 
之 路 。 


97 成 功 的 关键 因素 和 度量 标准 


这 一 章 不 是 这 本 书 早先 讲 到 的 SDL 框架 阶段 的 一 部 分 ， 相反 ， 它 只 是 第 3 ~ 8 章 应 用 到 
现实 世界 情境 中 的 概要 信息 。 因 此 ， 本 章 并 没有 给 出 特定 的 成 功 因 素 和 标准 。 下 面 描 述 的 成 
功 因 素 是 从 SDL 在 实践 中 的 应 用 这 个 角度 来 讲 的 。 


9.7.1 安全 编码 培训 计划 


对 于 组 织 运行 模式 来 说 ， 建 设 一 个 安全 编码 计划 是 十 分 必要 的 。 它 应 该 为 多 样 化 的 利益 
相关 者 服务 ， 而 不 只 是 仅仅 为 了 服务 研发 工程 师 这 些 人 。 一 个 有 效 的 安全 编码 计划 会 帮助 产 
品 经 理 了 解 到 这 些 实践 ， 有 助 于 给 实践 中 的 架构 润色 ， 以 及 给 工程 师 提 供 如 何 编写 良好 代码 
的 指导 原则 。 计 划 的 模板 也 应 该 适用 于 一 些 特殊 语言 (例如 ，Java、C、C++)。Web 服务 体系 
结构 和 密码 的 适当 使 用 也 必须 是 所 有 有 效 安全 编码 培训 计划 的 一 部 分 。 


9.7.2 ”安全 编码 框架 (API) 


除了 安全 编码 之 外 ， 开 发 者 应 该 注意 能 用 来 作为 编码 一 部 分 的 任何 安全 的 API 和 存在 的 
可 用 安全 编码 框架 。 这 可 以 预防 临时 编码 实践 来 解决 众所周知 的 安全 问题 (例如 : 预防 XSS) 
和 规范 代码 一 一 随 着 时 间 的 推移 标准 化 有 助 于 保持 代码 的 可 维护 性 。 不 同类 型 的 安全 测试 将 
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会 指出 由 于 不 恰当 的 使 用 或 者 没有 使 用 安全 代码 框架 ( API) 所 导致 的 缺陷 。 应 该 定期 开展 安 
全 编码 的 训练 项 目 ， 用 以 增强 实践 ， 并 不 断 更 新 它 来 弥补 由 于 API 的 不 正确 使 用 所 导致 的 缺 
陷 问 题 。 


97.3 人工 代码 审查 


每 一 行 提交 构建 的 代码 都 需要 进行 同行 审查 ， 无 论 是 多 么 小 的 模块 或 者 是 一 小 组 变化 ， 
也 就 是 所 谓 的 最 佳 实 践 的 “卫生 习惯 " 。 同 行 的 审查 不 应 看 作 是 一 种 批评 ， 而 是 一 种 使 代码 更 
加 可 靠 、 易 读 、 安 全 的 方式 。 关 键 代码 应 该 由 哪些 精通 安全 编码 实践 和 算法 实现 的 人 来 审查 。 
根据 我 们 的 经 验 ， 多 次 代码 审查 应 该 是 非常 有 益 的 。 


9.7.4 独立 代码 审查 和 测试 (专家 或 第 三 方 ) 


一 旦 编码 完成 ,第 三 方 或 者 独立 的 专家 应 该 给 出 一 次 全 面 的 编码 审查 。 这 里 的 目的 是 捕 
IRTE SDL 构建 和 测试 活动 中 没有 发 现 的 问题 。 独 立 审 查 和 渗透 测试 中 的 发 现 也 应 该 被 参与 静 
态 分 析 和 编码 审查 的 人 们 所 知晓 。 在 下 一 轮 开发 中 ， 很 多 这 些 问题 都 会 在 同行 审查 或 者 测试 
计划 期 间 通 过 静态 分 析 的 方式 来 进行 处 理 。 


9.7.5 ”静态 分 析 


在 代码 检 入 进行 人 工 审核 之 前 ， 应 该 通过 静态 分 析 找 到 常见 的 错误 和 违反 最 佳 安全 原则 
的 实践 。 这 将 能 减少 在 人 工 审查 和 专家 审查 阶段 添加 的 评论 数量 。 在 检 入 代码 之 前 进行 静态 
分 析 的 行为 ， 应 该 是 强制 性 的 、 理 想 的 ， 应 该 紧密 集成 到 开发 环境 和 开发 者 工作 流 中 。 


9.7.6 ”风险 评估 法 


正如 第 3 章 和 第 4 章 所 讲 的 一 样 ， 对 于 一 个 成 功 的 SDL 项 目 来 说 ， 有 一 个 风险 评估 框架 
是 必需 的 。 威 胁 建 模 和 架构 评估 进入 到 RAF 中 。RAF 给 风险 状况 设置 优先 级 并 基于 风险 的 严 
重 性 和 影响 做 决策 。 


9.7.7 SDL 和 SDLC 的 集成 


关键 性 的 问题 必须 进入 到 允许 SDL 的 SDLC 周期 ， 也 就 是 说 ， 软 件 安全 问题 ， 很 容易 集 
成 到 项 目 和 开发 实践 中 去 。 作 者 再 三 强调 创建 一 个 SDL 项 目 并 把 它 映射 到 SDLC 周期 ， 而 不 
是 使 安全 需要 成 为 一 个 项 目 计 划 行 条 目 。 没 有 合适 的 指导 方针 ， 按 项 目 计划 的 团队 很 有 可 能 
编造 他 们 自己 关于 安全 活动 很 少 的 解释 。 


9.7.8 架构 人 才 的 发 展 


安全 的 构架 人 才 并 不 容易 找到 ， 因 为 它 位 于 技能 金字 塔 的 顶端 。 在 担任 架构 师 的 角色 之 
前 需要 有 软件 开发 以 及 在 数 个 不 同 的 安全 领域 的 背景 知识 。 这 就 意味 着 常常 缺乏 有 准备 充分 
的 、 有 能 力 的 架构 师 候选 人 。 项 目 所 在 地 的 发 展 和 导师 资源 将 是 关键 性 的 ， 最 终 它 们 将 承担 
安全 架构 师 的 角色 。 从 外 部 招聘 架构 师 也 往往 是 不 太 有 用 的 ， 他 们 需要 花费 大 量 时 间 来 理解 
这 个 组 织 的 软件 、 环 境 和 每 个 组 织 特 有 的 实践 行为 ， 然 后 才能 够 应 用 现实 指导 原则 。 一 个 架 
构 师 指导 的 项 目 将 会 在 时 间 方 面 有 明显 的 投资 回报 。 
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98 度量 标准 


正如 早先 提 到 的 ， 这 段 并 不 属于 SDL 阶段 的 一 部 分 ， 但 以 下 列 出 的 度量 标准 同样 适用 于 
第 3 ~ 8 章 。 这 个 列表 是 实用 度量 标准 的 汇总 ， 来 源 于 作者 现实 生活 中 对 于 SDL 应 用 的 经 验 
之 谈 。 

。 成熟 的 安全 编码 方案 

。 在 编码 中 使 用 审查 API 的 百分比 

。 软 件 代 码 检 入 时 人 工 审查 的 百分比 

。 软 件 代 码 检 和 人 时 人 工 审查 的 代码 行 数 

。 在 专家 审查 阶段 ， 人 工 审 查 出 现 失误 的 百分比 

。 在 人 工 审 查 阶 段 ， 静 态 分 析出 现 失误 的 百分比 

© SDL 阶段 需要 着 重 调整 的 团队 审计 软件 的 数量 

。 运 用 自己 集成 开发 环境 ODE) 中 集成 的 静态 扫描 软件 的 开发 人 员 的 百分比 

。 人 工 审查 、 静 态 分 析 和 专家 审查 阶段 发 现 问题 的 数量 

。 内 置 于 SDLC 的 SDL 阶段 百分比 

。 组织 中 “未 来 ”架构 师 的 数量 

© 被 评定 为 生产 系统 的 软件 系统 所 占 百 分 比 (你 完成 了 每 个 项 目 和 每 个 系统 吗 ? ) 

。 设计 生产 的 安全 审查 完成 百分比 

。 成 熟 的 安全 设计 审查 过 程 

。 基 于 设计 审查 建议 的 异常 数量 9 

© Web 网 络 动态 分 析 所 覆盖 Web 服务 器 所 占 百分比 

。 输 入 模糊 化 所 发 现 的 问题 数量 

。 接收 A&P 独立 测试 的 主要 发 行 版 本 的 数量 

。 外 部 报告 的 安全 漏洞 数量 


9.9 本 章 小 结 


综 上 所 述 ， 正 如 我 们 所 看 到 的 ， 安 全 任务 规划 和 安全 软件 构建 构成 了 应 用 的 安全 开发 的 
生命 周期 。 为 了 使 这 些 任 务 更 好 地 执行 ， 开 发 团队 成 员 之 间 的 关系 ， 安 全 人 员 和 开发 团队 之 
间 的 关系 决定 着 成 败 。 

在 整个 SDL 交付 完成 软件 期 间 ， 需 求 收集 和 后 续 思考 很 早 就 开始 进行 了 。 架 构 和 设计 时 
参与 则 在 构建 正确 和 适当 的 软件 安全 机 制 ， 这 就 要 求 测试 计划 的 编码 正确 ， 并 且 功 能 正确 ， 
无 漏洞 。 测 试 计划 包括 多 种 方法 ,具体 采用 哪 种 方法 需要 依据 软件 暴露 的 攻击 表面 而 定 。 安 
全 是 一 个 端 到 端的 过 程 ， 通 过 任务 之 间 的 相互 重 友 来 提供 连续 性 和 保证 。 至 今 还 没有 一 个 好 
的 方法 可 以 让 某 个 任务 解决 整个 安全 问题 。 | 

当 安全 人 转向 开发 者 的 关注 点 时 ， 安 全 呈现 出 的 不 是 漏洞 ， 而 是 需要 融和 人 成 功 的 属性 ， 
以 及 开发 人 员 和 希望 删除 的 错误 ， 开 发 人 员 和 安全 人 员 可 以 团结 一 致 工作 以 开发 出 适当 的 安全 
软件 。 安 全 不 是 作为 非 功能 性 的 、 自 上 而 下 的 命令 。 相 反 ， 完 整 软件 中 那些 值得 优先 考虑 的 


O 不 要 过 于 依赖 这 个 看 似 无 境 的 度量 。 熟 练 的 安全 架构 师 经 常 使 用 异常 从 “是 否 修复 ”转向 “什么 时 候 修 复 
以 及 如 何 修复 。 
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属性 中 ， 安 全 需要 得 到 合理 的 重视 。 在 整个 SDL 中 ,适当 的 优先 级 是 安全 主题 专家 通过 深度 
和 积极 参与 获得 的 。 

事实 上 ， 并 不 是 每 个 安全 活动 都 适合 所 有 项 目 。 项 目 因为 大 小 、 临 界 值 和 范围 的 不 同 而 
有 所 区 别 。 一 个 可 行 的 SDL 会 以 这 些 差异 进行 划分 。 我 们 提供 了 7 个 确定 的 问题 作为 将 正确 
的 安全 任务 分 配给 合适 项 目的 标准 。 . 

姑且 不 去 讨论 所 列 出 的 具体 问题 ， 建 立 一 套 可 以 为 每 个 项 目 确定 适当 安全 活动 并 且 特 定 
于 项 目的 问题 ， 不 仅 能 确保 每 一 个 项 目 安全 正确 地 执行 ， 而 且 可 以 回答 项 目 管理 中 的 典型 性 
问题 : 

。 我 们 需要 做 什么 ? 

。 我 们 必须 执行 的 最 少 活动 是 什么 ? 

以 一 个 简单 和 容易 理解 的 方式 提出 你 的 SDL 确定 性 问题 ， 将 在 安全 团队 和 项 目 团 队 之 间 
建立 信任 。 最 终 ， 信 任 是 构建 安全 软件 的 关键 ,就 像 尽 可 能 多 地 培训 安全 编码 和 严格 的 安全 
测试 一 样 。 为 使 安全 能 够 面向 设计 ， 必 须 从 整个 生命 周期 开始 时 就 考虑 安全 性 。 必 须 编写 代 
码 来 最 小 化 漏洞 并 且 保护 攻击 表面 。 程 序 的 功能 和 不 存在 漏洞 必须 由 一 系列 测试 来 验证 : AR 
设 一 设计 一 编码 一 测试 。 

安全 软件 必须 满足 以 下 几 方 面 。 

。 没 有 可 以 被 恶意 操控 的 错误 ， 即 没有 安全 漏洞 。 

。 包 含 客户 要 求 的 安全 特征 。 

。 自 我 保护 一 一 软件 必须 抵制 针对 该 软件 发 布 的 攻击 类 型 。 

。 也 就 是 说 ， 不 能 以 “失败 ”这 样 一 种 方式 作为 将 成 功 攻击 的 后 果 降 到 最 低 的 方法 。 

。 用 明智 的 、 封 闭 的 方法 安装 。 

未 能 满足 这 些 需求 ， 软 件 就 不 能 成 功 实现 其 功能 ， 就 不 能 在 这 个 不 断 有 数字 攻击 的 世界 
安全 地 存在 。 需 要 指出 两 个 重要 上 且 环 环 相 扣 的 方法 : 构建 正确 的 特性 让 软件 可 以 保护 自己 和 
软件 的 使 用 者 ， 移 除开 发 中 不 可 避免 的 错误 ; 不 正确 的 实现 (逻辑 错误 ) 必须 被 捕获 并 移 除 。 
引入 的 任何 漏洞 ， 必 须 被 发 现 并 根除 。 

安全 开发 生命 周期 是 一 个 基于 关系 和 现实 世界 的 过 程 ， 开 发 团队 通过 该 过 程 开 发 安 
全 软件 。 
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网 络 威胁 来 源 于 软件 缺陷 ， 即 能 够 被 网 络 攻击 或 者 软件 应 用 程序 和 系统 利用 的 玻 漏 。 在 
本 书 中 ,我 们 已 经 涵盖 了 一 些 策略 ， 通 过 从 源头 上 提供 安全 策略 ， 以 SDL 最 佳 实践 的 形式 帮 
助 软件 开发 组 织 避 免 和 减少 软件 缺陷， 来 作为 一 个 有 效 的 核心 软件 安全 的 基本 要 素 以 实施 软 
件 安全 性 的 具体 方面 。 

在 本 书 中 ， 尽 管 实现 一 款 没 有 漏洞 的 产品 是 极其 困难 的 ， 甚 至 是 不 可 能 的 ， 但 这 应 该 是 
你 的 终极 目标 。 通 过 应 用 本 书 中 的 最 佳 实践 ， 你 开发 的 软件 将 会 尽 可 能 远离 安全 漏洞 。 漏 洞 
的 数量 越 少 ， 攻 击 者 利用 给 定 的 应 用 程序 的 难度 就 会 越 来 越 大 。 这 绝 不 意味 着 我 们 可 以 通过 
使 用 软件 安全 最 佳 实践 来 阻止 所 有 威胁 ， 但 是 最 大 化 地 减少 攻击 面 是 我 们 的 终极 目标 ， 这 将 
让 我 们 作为 软件 安全 专家 的 工作 容易 些 ， 并 且 使 我 们 的 对 手 攻 击 起 来 更 困难 。 在 本 书 中 概括 
了 最 佳 实践 的 实现 ， 你 将 能 在 很 大 程度 上 减轻 来 自 非 政 府 行为 体 的 大 多 数 威胁 。 

FAR, 我 们 将 威胁 分 为 三 大 类 ， 具 体 而 言 ， 分 别 是 : 战略 、 战 术 和 特定 于 用 户 的 。 然 
后 ,我 们 将 提供 每 个 类 别 的 攻击 实例 ， 并 且 在 本 书 中 介绍 的 SDL 最 佳 实践 的 应 用 将 帮助 您 开 
发 的 软件 抵抗 这 些 威胁 和 攻击 方法 。 


10.1 战略 、 战 术 和 特定 于 用 户 的 软件 攻击 


既然 我 们 已 经 描述 了 安全 软件 的 开发 实践 ， 重 要 的 是 在 这 本 书 末 尾 ， 提 醒 读者 使 用 这 些 
实践 的 重要 性 ， 以 防止 今天 的 网 络 攻 击 。 在 引用 几 个 行业 领导 者 的 话 之 后 ， 对 于 以 基线 保护 
为 核心 的 安全 软件 开发 实践 ， 我 们 将 给 出 这 种 网 络 威胁 的 一 个 深度 概述 。 


结构 是 安全 软件 开发 的 实现 策略 ， 将 安全 软件 的 开发 实践 融合 到 机 构 的 文化 中 ， 
而 不 是 仅仅 使 用 软件 扫描 工具 ， 是 十 分 重要 的 。 一 些 公 司 已 经 发 现 ， 使 用 智能 的 安 
全 软件 开发 流程 ， 可 以 减少 与 核心 任务 软件 相关 的 70% 的 漏洞 。 

— Jeff Snyder, EHA MATFRE ŚR, 2012 


网 络 攻 击 利用 系统 的 漏洞 ， 诸 如 不 正确 验证 用 户 输入 ， 系 统 组 件 之 间 不 一 致 的 
设计 假设 和 非 正常 的 用 户 和 运算 符 操作 等 。 在 组 件 的 计划 开发 、 测 试 和 维护 阶段 ， 
由 于 断 开 和 通信 和 错误， 都 可 能 产生 软件 漏洞 。 尽 管 应 用 开发 团队 对 于 相关 的 业务 功 
能 十 分 熟悉 ， 但 是 他 们 通常 只 有 有 限 的 安全 实践 经 验 。 对 于 越 来 越 多 需要 满足 安全 
性 要 求 的 系统 组 件 ， 断 开 和 通信 错误 发 生 的 可 能 性 也 随 之 增加 。 整 个 软件 开发 流程 
中 ， 系 统 开发 和 最 终 实际 用 途 之 间 ， 多 个 开发 团队 之 间 的 必要 交互 在 项 目 管理 当中 
必须 有 所 体现 。 项 目 经 理 必须 考虑 到 附加 通信 需求 、 生 命 周 期 活动 之 间 的 联系 和 可 
能 的 应 用 环境 与 安全 需要 的 联系 。 

一 一 Robert J. Eusion, “人 安全 与 项 目 管理 ”，2006 


RR: 应 用 SDF BEH E HY Ah 181 





通过 推进 全 行业 的 最 佳 软 件 安全 实践 ， 我 们 有 机 会 迎 来 提高 科技 生态 环境 系统 
安全 性 的 机 会 。 
Howard Schmidt， 前 美国 网 络 安全 沙皇 ，2013 


整体 





一 个 组 织 了 解 其 应 用 的 安全 等 级 和 对 整个 IT 行业 的 重要 性 是 十 分 关键 的 。 研 究 
表明 ， 应 用 层 担 负 着 90% 的 安全 漏洞 ， 但 是 仍然 有 80% 的 安全 开支 是 用 于 周边 安全 
的 网 络 层 的 。 对 于 这 个 发 现 的 研究 表明 ， 对 应 用 安全 项 目的 投入 来 减少 整个 组 织 对 
于 网 络 安全 的 威胁 是 很 有 必要 的 。 


一 一 国家 安全 应 用 波 耐 蒙 研 究 所 ，LLC 和 安全 创新 的 研究 课题 ，2013 


战略 攻击 主要 针对 于 包括 规格 、 计 划 、 能 力 、 程 序 和 指导 方针 的 信息 资产 的 计划 和 控制 ， 
来 获取 战略 优势 。 它 们 通常 由 国家 赞助 商 (或 国家 支持 的 实体 )、 犯 罪 团体 或 者 竞争 者 控制 实 
施 。 战 术 攻 击 通常 是 随机 的 或 者 投机 取 巧 的 ; 以 恶意 软件 、 漏 洞 、 黑 客 、 代 理 人 、 内 部 威胁 
和 聊天 室 作 为 工具 ， 对 目标 信息 资产 发 动 攻击 以 获得 威望 或 者 经 济 奖励 ， 这 些 战术 攻击 多 被 
专业 黑客 、 脚 本 小 子 或 者 内 部 人 士 所 操控 。 正 如 你 看 到 的 ， 战 术 攻击 和 战略 攻击 的 核心 不 同 
点 是 动机 : 战术 攻击 是 以 网 络 资产 为 目标 来 获取 威望 和 经 济 奖 励 ， 而 战略 攻击 则 是 对 于 多 个 
目标 网 络 的 战术 攻击 的 协同 合作 〈 大 规模 地 )， 以 获得 战略 优势 和 抢占 对 手 的 先 机 。 战 术 攻 击 
的 目标 是 随机 和 机 会 主义 的 ， 主 要 利用 软件 漏洞 和 用 户 的 疏忽 ， 而 战略 打击 的 目标 则 是 被 智 
能 控制 和 精心 安排 的 高 等 级 过 程 。 举 例 来 说 ， 战 略 攻击 的 目标 包括 对 基础 设施 的 渗透 ， 对 电 
信 基 础 设施 的 攻击 ， 搜 集 技 术 领 域 的 特殊 技术 ， 比 如 隐形 技术 。 要 理解 战略 进攻 就 需要 理解 : 
(1) 由 个 别 网 络 支持 的 业务 功能 和 流程 ; (2 ) 网 络 之 间 的 业务 联系 ; (3 ) 在 承包 商 、 供 应 商 
和 目标 实体 之 间 共 享 战术 攻击 数据 。 对 于 这 些 业务 关系 的 攻击 所 获取 的 信息 用 来 指导 和 进行 
战略 攻击 。 

针对 用 户 的 软件 可 以 是 战略 性 的 、 战 术 性 的 和 投机 取 巧 的 。 它 们 可 能 涉及 攻击 一 个 特定 
的 用 户 ， 利 用 软件 漏洞 来 获取 通常 不 受用 户 限 制 的 资源 和 信息 ， 包 括 用 户 可 以 访问 的 资源 或 
特定 用 户 机 器 上 的 数据 。 战 略 攻击 是 杠杆 战术 和 用 户 特定 攻击 的 超级 集合 。 


10.1.1 战略 攻击 


通常 情况 下 ， 战 略 软 件 的 目标 是 对 于 政府 、 经 济 和 社会 必 不 可 少 的 基础 设施 功能 的 应 用 
程序 。 关 键 基础 设施 的 组 件 包 括 高 速 公路 、 机 场 与 飞机 、 火 车 与 铁路 、 公 交 系 统 、 船 舶 、 运 
输 系统 ， 基 础 物资 发 电厂 、 电 力 线 的 供应 网 络 ， 以 及 各 种 油气 管道 和 设施 ， 这 其 中 又 包括 供 
水 和 排污 系统 、 土 地 和 手机 系统 、 计 算 机 网 络 、 电 视 和 电台 (不 仅仅 是 公开 的 ， 还 有 在 特殊 
网 络 中 或 特殊 频率 下 被 私人 或 政府 实体 控制 的 )、 银 行 和 其 他 金融 机 构 、 安 全 、 消 防 、 医 院 ， 
以 及 应 急 服 务 机 构 。 这 些 关 键 基础 设施 的 每 个 组 成 元 素 都 必 不 可 少 ， 即 使 是 暂时 地 停止 工作 ， 
也 会 对 整个 国家 造成 巨大 的 影响 。 即 使 某 一 个 领域 的 基础 设施 受到 威胁 ， 其 结果 也 是 灾难 性 
的 。 这 其 中 包括 电信 、 能 源 、 交 通 、 供 水 系统 和 应 急 服 务 系统 。 当 然 ， 战 略 攻击 也 包括 对 于 
政府 部 门 必 不 可 少 的 部 分 ， 包括 国防 、 和 情报 机 构 和 其 他 被 竞争 对 手 认为 具有 极 高 价值 的 机 构 。 

战略 软件 攻击 具有 高 度 的 重复 性 和 目标 选择 的 一 般 性 ， 如 针对 各 行 各 业 (军事 、 金 融 、 
能 源 等 )， 也 可 以 针对 团体 或 者 个 人 ， 同 时 战略 攻击 一 定 会 产生 持久 的 打击 效果 。 战 略 攻击 通 
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常 没有 战术 攻击 那 般 复 条， 而 且 通 常 开发 和 维护 成 本 更 加 低廉 。 这 些 类 型 的 攻击 可 以 归 为 三 
大 领域 : 间谍、 犯罪 以 及 社会 和 政治 。 


10.1.2 ”战术 攻击 


网 络 战术 威胁 通常 非常 精确 并 且 在 技术 上 很 复杂 ， 同 时 有 高 度 精确 的 目标 。 考 虑 到 这 种 
攻击 战术 的 特殊 本 质 ， 开 发 成 本 相当 高 。 与 战略 攻击 相 比 ， 战 术 攻击 的 重要 性 有 所 降低 。 在 
一 些 情况 下 ， 战 术 攻击 可 以 用 于 增强 攻击 力 或 增强 其 他 活动 ， 如 军事 战役 或 者 其 他 特殊 利益 
行动 小 组 的 一 个 补充 活动 。 考 虑 到 战术 攻击 的 精确 性 ， 它 也 可 以 应 用 到 一 系列 的 破坏 活动 中 。 
鉴于 战术 攻击 的 成 本 ， 它 们 通常 由 资金 充足 的 私人 实体 和 政府 提供 资助 ， 这 些 资助 者 往往 是 
全 球 性 受 欢 迎 的 国家 、 企 业 或 特殊 利益 集团 。 


10.1.3 ”特定 于 用 户 的 攻击 


指定 于 用 户 的 网 络 威胁 本 质 上 可 以 是 战略 性 的 ， 战 术 性 的 ， 或 者 针对 个 人 ， 针 对 个 人 设 
备 (要 么 是 消费 性 的 要 么 企业 所 有 的 )。 使 用 战略 、 战 术 或 公开 可 用 的 方法 来 利用 特定 的 个 人 
或 者 金融 、 政 治 、 私 人 利益 的 一 般 用 户 ， 将 它们 作为 特定 的 目标 ， 或 作为 到 达 另 一 个 目标 的 
一 种 手段 ， 或 用 户 随机 破解 的 目标 。 

在 许多 方面 ， 绝 大 多 数 的 战略 和 战术 攻击 是 一 种 用 户 攻 击 。 这 些 攻击 和 特定 于 用 户 的 攻 
击 之 间 的 差异 在 于 其 规模 的 不 同 。 这 种 攻击 的 一 个 例子 是 ， 通 过 对 其 系统 安装 一 个 键盘 记录 
器 ， 以 获得 直接 的 经 济 效益 (例如 ， 得 到 其 登录 银行 账户 的 密码 )， 未 经 授权 访问 别人 的 电子 
邮件 账户 ， 或 者 目标 是 获取 某 测试 的 答案 。 所 有 这 些 攻 击 当 中 ， 只 有 少数 人 获 利 。 这 类 攻击 
例子 的 主要 目的 是 勒索 ， 信 用 卡 获 利 ， 为 了 获取 (银行 账户 、 社 保 号 码 等 ) 针对 特定 的 个 人 ， 
未 经 授权 访问 社交 媒体 网 站 、 电 子 信箱 和 其 他 在 线 信息 ， 旨 在 勒索 、 利 用 个 人 ， 窃 取 个 人 信 
息 ， 网 络 钓 鱼 和 利用 “智能 家 居 ” 产 品 。 读 者 将 会 熟悉 其 中 大 部 分 的 攻击 。 瘟 索 软 件 是 一 种 
恶意 软件 ， 它 诱骗 用 户 相 信 没 有 摆脱 这 些 麻 烦 的 办 法 ,除了 支付 它 。 这 种 攻击 的 例子 是 ， 锁 
定 用 户 的 台式 机 ， 要 求 付费 之 后 才能 解锁 。 这 种 攻击 最 早 在 俄罗斯 被 发 现 ， 在 近 几 年 的 时 间 
里 已 传播 到 世界 各 地 。 


10.2 ”应 用 适当 设计 、 管 理 和 集中 的 SDL 克服 组 织 与 业务 挑战 


我 们 概述 了 一 个 带 有 相关 角色 和 责任 的 组 织 架 构 ， 这 些 角 色 和 责任 特定 于 在 SDL 模型 里 
概述 的 任务 ， 本 书 的 作者 已 经 实地 检验 和 优化 了 这 些 任务 。 本 书 先前 描述 的 结构 能 够 有 效 地 
创建 ， 实 现 和 控制 本 书 中 的 最 佳 范例 ， 同 时 它 也 能 够 通过 SDL 模型 中 的 Al ~ AS 来 实现 成 
功 的 买 进 和 任务 的 管理 。 使 用 提 到 的 组 织 架构 有 个 附加 的 好 处 ， 就 是 你 能 够 实现 在 第 8 章 提 
到 的 发 布 后 支持 任务 ， 这 些 任务 通常 不 是 你 自己 完成 的 ， 而 是 由 别 的 组 织 完 成 。 通 过 使 用 在 
SDL 模型 的 每 一 部 分 提 到 过 的 指标 ， 你 不 仅 能 够 有 效 地 管理 和 跟踪 你 的 软件 安全 方案 ,而 且 
能 为 公司 管理 、 内 部 客户 和 方案 的 当前 状态 提供 仪表 盘 。 这 个 仪表 盘 也 能 够 用 来 识别 职员 总 
数 、 资 金 和 其 他 资源 的 缺口 。 最 重要 的 是 ,通过 内 置 安全 性 ， 你 能 够 在 发 布 后 最 大 限度 地 避 
免 发 现 软 件 中 的 安全 漏洞 。 在 某 些 情况 下 ， 当 它们 发 生 时 ， 同 时 也 能 增加 你 成 功 管理 这 些 安 
全 漏洞 的 能 力 。 
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10.3 软件 安全 组 织 的 现状 和 影响 力 


对 于 大 多 数组 织 来 说 ， 尽 管 采取 基于 工作 量 增加 员工 人 数 是 常规 计划 ， 但 是 逐步 增加 员 
工 总 数 对 于 本 书 提 到 的 情况 来 说 并 不 是 合适 的 模型 ， 更 加 不 符合 那些 正在 经 历 严峻 考验 的 组 
织 的 实际 情况 。 用 更 少 的 人 做 更 多 的 事 是 我 们 一 起 面 对 的 实际 状况 。 为 了 解决 这 种 两 难 的 情 
况 ， 我 们 为 软件 安全 小 组 提出 了 一 个 并 不 依赖 于 连续 增长 或 线性 增长 的 模型 。 这 个 虚拟 团队 
的 人 数 并 不 是 线性 增长 的 ， 而 是 一 个 人 员 章 备 、 集 中 的 软件 安全 小 组 ， 并 且 保持 相对 稳定 。 
只 要 软件 安全 冠军 项 目 基于 本 书 ， 我 们 相信 在 你 的 软件 工程 开发 组 织 中 ， 一 个 由 经 验 丰 富 的 
软件 安全 架构 师 组 成 的 集中 团队 (每 个 安全 架构 师 负责 一 个 主要 的 软件 产品 ) 和 负责 一 个 软件 
产品 的 团队 能 足够 很 好 地 按 比例 分 配 。 另 外 ， 在 一 个 开发 组 织 中 ， 通 过 共同 承担 一 个 常规 产 
品 安全 事件 响应 小 组 (PSIRT) 的 责任 ， 一 个 PSIRT 经 理应 该 能 够 满足 整个 组 织 中 任务 给 定 的 
共同 承担 责任 。 

如 前 所 述 ， 卓 越 并 不 意味 着 增加 数量 ， 而 是 你 雇用 的 职工 质量 。 每 一 个 经 验 丰富 的 软件 安 
全 架构 师 能 够 协调 和 支持 SDL 在 每 个 业务 部 和 软件 生产 线 的 实施 ， 也 能 够 做 到 以 下 几 方 面 。 

。 为 相关 的 软件 安全 冠军 提供 集中 的 软件 安全 小 组 处 理 和 管理 。 

。 指 导 在 安全 性 架构 和 安全 性 审查 中 的 软件 安全 冠军 。 

。 在 每 一 条 软件 产品 生产 线 的 指导 下 支持 相关 业务 组 的 软件 安全 冠军 。 

。 为 早期 和 及 时 的 安全 需求 协调 产品 管理 。 

。 帮 助 计算 项 目 安全 风险 。 

。 帮 助 保证 软件 安全 冠军 创立 合适 和 完整 的 安全 性 测试 。 

。 保 证 合适 的 安全 性 测试 工具 (静态 、 动 态 、 模 糊 ) 可 用 于 SDL 中 合适 的 地 方 。 

当 这 些 任 务 极 大 受益 于 老道 的 经 验 和 判断 力 时 ， 我 们 就 有 机 会 来 节省 这 些 高 级 技术 领导 
者 指导 软件 安全 冠军 和 软件 安全 架构 的 成 本 。 同 时 这 也 是 一 个 增加 个 体 的 参与 度 和 节省 公司 
与 组 织 成 本 的 好 机 会 。 某 些 有 潜力 通过 经 历 和 师 徒 制 成 为 领导 者 的 人 是 模型 中 软件 安全 冠军 
的 一 个 极 佳 候 选 者 。 我 们 是 我 们 所 做 一 切 的 总 和 ， 而 这 个 总 和 时 常 被 修改 和 牢记 。 对 于 软件 
安全 架构 是 一 样 的 道理 ; 这 并 不 是 一 个 时 间 点 ， 而 是 一 场 旅 行 ， 并 且 需 要 不 断 学 习 ， 并 且 需 
要 前 辈 的 指导 和 帮助 。 


10.4 通过 合理 的 政府 管理 克服 SDL 审计 和 法 规 挑 战 


第 2 章 给 出 了 ISO/IEC 27034 的 概述 。 除 了 书 中 提 到 的 各 种 安全 软件 成 熟 度 模型 以 外 ， 
这 将 是 第 一 个 软件 安全 标准 。 未 来 它 将 会 有 第 三 方 认证 并 且 认 证 行业 将 围绕 它 来 组 建 。 由 于 
这 个 标准 没有 作为 一 个 特定 的 国家 安全 标准 定义 应 用 程序 ， 而 是 作为 一 个 过 程 定义 它 ， 组 织 
可 以 进行 应 用 控制 和 测量 ， 以 管理 使 用 的 风险 ,我 们 相信 我 们 的 模型 是 符合 本 标准 的 。 这 个 
标准 为 把 安全 整合 到 管理 应 用 程序 的 过 程 中 提供 了 准则 在 详细 说 明 、 设 计 、 开 发 、 测 试 、 实 
现 和 维护 应 用 系统 中 的 安全 功能 和 控制 过 程 中 ， 需 要 一 个 明确 的 实现 过 程 。ISO/IEC 27034 里 
面 特定 的 要 求 和 过 程 并 没有 要 求 隔离 实现 ,但 是 需要 集成 到 一 个 组 织 现 有 的 过 程 中 。 将 ISO/ 
IEC 27034 准则 与 SDL 实践 或 者 书 中 先前 提 到 的 成 熟 模型 整合 ， 将 会 让 你 自如 地 应 对 审计 、 
监管 或 者 管理 的 挑战 ， 因 为 坚持 规范 将 可 能 由 后 者 驱动 的 指导 来 驱动 。 
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10.5 ”软件 安全 的 未 来 预测 


我 们 在 这 里 把 这 一 节 成 两 部 分 。 首 先 ， 坏 消息 是 我 们 看 到 的 事情 很 可 能 会 在 工业 界 普 及 ， 
但 有 些 内 容 应 该 改变 ; 其 次 ， 软 件 安全 是 好 东西 ， 如 果 你 愿意 ， 未 来 非常 光明 。 


10.5.1 坏 消息 


先 说 坏 消息 。 在 大 多 数 情况 下 ， 除 了 威胁 建 模 和 架构 安全 审查 之 外 ， 这 是 一 门 艺 术 ， 而 
不 是 一 门 科学 ， 软 件 安全 并 不 难 ， 它 是 一 个 很 多 年 前 就 已 知 的 领域 , 但 没有 被 深入 研究 、 挖 
掘 。 一 个 典型 的 表现 是 在 公共 漏洞 与 披露 (CVE) 和 OWASP 以 及 SAN 的 前 10 项 漏洞 列表 ， 
10 年 来 都 没有 变化 过 。 虽 然 在 过 去 的 几 年 中 业界 在 这 个 领域 保持 领先 ， 而 且 ISO ISO / TEC 
27034, 29147, 30111 已 经 声称 ， 他 们 在 可 预见 的 未 来 把 软件 安全 视 为 一 个 持续 的 问题 。 虽 然 
未 来 在 这 方面 是 光明 的 ， 但 是 最 终 引 导 业 界 朝 着 正确 的 方向 前 进 需 要 时 间 。 如 本 书 所 述 ， 把 
安全 内 置 到 软件 开发 过 程 中 更 多 的 是 一 种 态度 的 转变 ， 管 理 验收 和 业务 /运营 过 程 变化 ， 而 
不 是 新 的 科技 或 技术 学 科 中 的 灵光 一 现 。 

漏洞 的 后 修复 期 代价 是 非常 高 的 。 调 整 和 保持 现 有 产品 安全 性 的 工具 比 购 买 新 产品 更 贵 。 
虽然 对 产品 进行 更 改 的 责任 在 于 供应 商 ， 我 们 还 是 有 一 些 可 能 有 助 于 改变 这 种 现状 的 办 法 。 
我 们 提出 了 一 个 从 软件 安全 性 中 移 除 漏洞 的 范例 。 然 而 ， 并 不 是 每 个 漏洞 都 可 以 被 利用 或 者 
被 攻击 。 通 常情 况 下 ， 减 少 了 那些 不 明显 的 一 般 漏洞 扫描 器 ， 甚 至 使 得 攻击 者 对 普通 漏洞 丧 
失 了 兴趣 。 我 们 不 是 说 我 们 停止 修正 代码 中 的 bugs ARH, WEBE, RERE TA 
千 个 漏洞 并 没有 使 软件 安全 。 作 为 一 个 整体 ， 安 全 行业 将 继续 专注 于 漏洞 : 每 一 个 新 的 攻击 
类 型 ， 每 一 个 新 的 变化 ， 以 及 每 一 个 可 以 想象 的 攻击 方式 。 相 反 ， 专 注 于 正确 的 程序 行为 很 
符合 开发 商 的 做 法 设计 和 代码 创建 。 根 据 我 们 的 经 验 ， 开 发 人 员 会 因 于 正确 性 得 到 奖励 。 显 
而 易 见 ， 漏 洞 是 错误 ， 这 很 简单 明了 。 但是， 关注 正确 性 在 软件 安全 中 是 突 发 性 转变 。 今 天 
的 工具 往往 不 报告 单一 的 bug， 这 个 bug 能 对 一 个 特定 类 型 的 攻击 的 多 种 变化 作出 反应 。 相 
反 ， 很 多 时 候 ,， 工 具 报告 的 每 个 漏洞 变 体 需 要 由 开发 商 来 解决 。 这 才 是 安全 人 士 需 要 考虑 的 
问题 。 这 是 一 个 攻击 者 的 看 法 : 哪些 攻击 方法 将 针对 这 个 特定 的 系统 实施 攻击 ”时 至 今日 ( 写 
作 本 书 时 )， 大 多 数 漏洞 扫描 仪 都 能 解决 这 个 问题 。 然 而 ， 写 代码 的 人 只 是 想 知道 编码 错误 是 
什么 ， 它 在 代码 中 的 什么 地 方 ， 什 么 是 必须 编程 的 正确 行为 。 通 常情 况 下 ， 如 果 该 工具 包含 
任何 编程 提示 ， 这 些 往往 被 埋没 在 该 工具 的 用 户 界面 之 下 。 相 反 ， 工 具 应 该 不 会 比 任何 一 个 
编译 器 更 难 使 用 。 其 结果 可 能 是 一 个 编码 错误 列表 其 中 包含 错误 的 行 号 。 它 所 用 的 代码 片段 
指出 其 中 的 错误 所 在 。 当 然 ， 这 是 一 种 过 于 简单 化 的 方法 。 某 些 类 型 的 安全 漏洞 位 于 整个 代 
码 段 ， 或 甚至 可 以 跨 整 个 系统 。 不 过 ， 焦 点 是 什么 才 是 编码 错误 ， 什 么 是 它 的 解决 方案 。 退 
辑 错误 可 能 会 从 设计 解决 方案 方面 描述 : 妥善 随机 会 话 ID ， 或 包括 不 可 预知 的 会 话 标识 符 与 
每 个 Web 输入 (例如 ， 防 止 跨 站 点 请 求 伪 造 ) 等 。 当 今世 界 ， 数 以 千 万 计 的 人 正在 编写 Web 
代码 ， 而 大 量 的 代码 含有 可 利用 的 漏洞 ， 我 们 需要 简化 的 方法 来 发 现 这 些 错误 代码 。 数 以 
百 万 计 的 庞大 数量 漏洞 没有 减少 攻击 面 。 我 们 想 建 议 要 求 使 用 这 种 新 方法 “以 开发 人 员 
为 中 心 的 软件 安全 性 设计 ”。 那 意味 着 ， 安 全 人 员 应 该 了 解 开 发 者 的 重点 与 开发 者 的 问题 。 安 
全 行业 必须 着 手 解 决 这 些 以 在 应 有 的 位 置 考虑 安全 性 ， 熟 练 的 程序 员 也 必须 考虑 可 维护 性 、 
算法 的 正确 性 、 计 算 的 正确 性 ， 以 及 所 有 其 他 问题 。 





Ek: ÆA SDL 防止 现实 的 威 肚 185 





10.5.2 ”好 消息 


正如 本 书 通 篇 和 上 一 节 所 提 到 的 那样 ， 安 全 行业 知道 该 怎么 做 ， 也 知道 他 们 应 该 这 样 做 ， 
以 及 如 何 做 到 这 一 点 ， 但 他 们 不 做 。 知 道 做 什么 是 需要 取得 胜利 的 战斗 的 关键 ， 我 们 认为 来 
自 新 的 ISO 生产 标准 (27034、29147、30111 和 ) 的 压力 和 最 近 企 业 和 政府 团体 安全 意识 的 增 
加 (内置 在 软件 开发 过 程 中 的 有 效 动力 )， 最 终 会 使 软件 安全 性 拥有 高 优先 级 并 推动 业务 发 展 。 
男 一 个 好 消息 是 工具 和 软件 安全 培训 不 断 提高 。 我 们 也 看 到 了 下 一 代 软 件 架 构 师 越 来 越 多 的 
指导 ， 随 着 时 间 的 推移 ， 这 将 成 为 我 们 这 个 行业 的 强劲 动力 。 最 重要 的 是 ， 就 像 这 本 书 所 描 
述 的 ， 新 的 组 织 和 管理 的 SDL 模型 (基于 现实 经 验 和 成 功 ) 正在 开发 中 。 


10.6 总结 


软件 安全 的 重要 性 是 不 容 小 鹿 的 ， 因 为 我 们 很 快 就 走向 这 个 新 的 时 代 ， 以 前 的 任务 转交 
给 人 脑 ， 现 在 正 被 由 软件 驱动 的 机 器 所 取代 。 正 是 出 于 这 个 原因 ， 我 们 写 了 这 本 书 。 与 此 相 
反 ， 在 可 预见 的 将 来 ， 人 们 将 会 继续 编写 软件 程序 。 这 也 意味 着 ， 新 的 软件 将 继续 在 软件 安 
全 得 到 重视 或 复杂 的 攻击 变 得 普遍 之 前 所 编写 的 遗留 代码 或 软件 上 进行 构建 。 只 要 我 们 编写 
程序 ， 成 功 达成 软件 安全 性 的 关键 是 使 软件 开发 项 目 过 程 更 加 高 效 和 有 效 。 虽 然 本 书 的 方法 
包括 使 软件 安全 的 人 员 、 流 程 和 技术 方法 ， 但 是 作者 始终 认为 对 于 软件 安全 性 ， 人 仍然 是 管 
理 中 最 重要 的 组 成 部 分 。 只 要 软件 的 开发 、 管 理 和 利用 都 是 通过 人 实现 的 ， 这 个 观点 就 一 直 
会 是 正确 的 。 本 书 对 软件 安全 性 提出 了 一 个 有 关 当 下 技术 、 和 运营 、 业 务 和 开发 环境 的 具体 流 
程 。 我 们 专注 于 人 们 可 以 通过 最 佳 做 法 和 度量 标准 的 形式 来 做 什么 去 控制 和 管理 一 个 安全 的 
软件 开发 过 程 。 虽 然 安全 性 不 是 最 近 几 年 业界 开发 软件 的 自然 组 成 部 分 ， 但 作者 始终 认为 ， 
提高 软件 安全 性 对 开发 流程 是 可 行 的 、 实 用 的 和 必要 的 。 我 们 相信 ， 本 书 介绍 的 软件 安全 最 
佳 实践 和 模式 将 会 使 所 有 阅读 这 本 书 的 人 明白 这 一 点 ， 包 括 高 管 、 项 目 经 理 和 从 业 人 员 。 

当 谈 到 网 络 安全 时 ,我 们 相信 这 是 关于 软件 本 身 以 及 它 是 否 是 安全 的 ， 因 此 这 本 书 的 英 
文书 名 是 Core Software Security: Security at the Source。 你 可 以 拥有 世界 上 最 好 的 客户 端 、 主 
机 和 网 络 安全 性 ， 包 括 加 密 传 输 和 数据 存储 ， 但 如 果 应 用 软件 存在 漏洞 ， 并 且 可 以 被 利用 ， 
你 的 纵深 防御 安全 方法 就 必然 会 遭 到 削弱 。 正 如 老话 所 说 ， 你 最 薄弱 的 环节 决定 你 综合 能 力 
的 高 低 ， 而 在 今天 的 世界 上 ， 这 一 环 仍然 是 软件 ; 并 且 软 件 渗透 到 我 们 全 部 的 生活 中 ， 国 防 、 
医学 、 工 业 、 人 金融、 农业、 交通 运输 以 及 我 们 如 何 管理 自己 和 生活 。 这 是 一 件 非常 严肃 的 事 ， 
并 且 它 还 有 着 令 人 生 旦 的 漏洞 。 你 只 需要 去 看 看 多 少年 来 相同 的 软件 漏洞 仍然 存在 于 CVE 前 
25 或 OWAS 和 PSAN 前 10 的 排名 中 ， 就 能 认识 到 ， 企 业 仍 然 没有 重视 软件 安全 。 更 糟糕 的 
是 ,经 验 丰 富 和 专业 的 对 手 将 针对 存在 漏洞 的 软件 ， 并 且 不 一 定 要 求 它 处 于 互联 网 链接 的 状 
态 下 才 会 有 威胁 ， 尽 管 这 能 让 攻击 变 得 更 容易 ， 但 软件 仍 是 首要 目标 ， 因 为 如 果 你 可 以 拥有 
软件 ， 就 表示 你 可 以 拥有 由 它 控制 的 数据 和 流程 。 在 今天 的 世界 上 ， 这 可 能 会 导致 生命 威胁 
和 严重 的 区 域 性 或 全 球 性 的 后 果 。 本 书 已 经 介绍 了 SDL 的 最 佳 实践 和 度量 标准 来 优化 安全 软 
件 开发 生命 周期 的 搭建 、 管 理 和 发 展 ， 以 及 可 最 大 限度 地 缓解 此 类 风险 的 编程 。 管 理 软件 的 
安全 性 是 作者 每 天 所 面 对 的 工作 ， 而 本 书 正 是 基于 我 们 的 实际 经 验 。 我 们 一 直 与 “财富 500 
强 ” 企 业 合作 ， 经 常 看 到 不 遵循 安全 开发 生命 周期 (SDL) 实践 的 例子 。 在 本 书 中 ， 我 们 采取 
了 经 验 为 基础 的 方法 来 运用 现 有 最 佳 SDL 模型 的 组 件 ， 去 处 理 上 述 以 SDL 软件 安全 最 佳 实 
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践 模型 和 框架 的 形式 描述 的 问题 。 最 重要 的 是 ，SDL 最 佳 实践 模型 已 被 映射 到 软件 开发 生命 
周期 的 标准 模型 之 中 ， 它 详细 解释 了 如 何 使 用 它 来 建立 和 管理 一 个 成 熟 的 SDL 程序 。 尽 管 安 
全 问题 会 一 直 存在 , 但 是 本 书 旨 在 教 你 如 何在 软件 面市 之 前 最 大 限度 地 发 挥 一 个 团队 的 能 力 ， 
通过 将 安全 性 内 置 在 开发 过 程 之 中 , 来 最 大 限度 地 减少 软件 产品 的 漏洞 。 我 们 希望 你 喜欢 这 
本 书 ， 享 受到 我 们 在 编写 过 程 中 所 有 的 乐趣 ， 因 为 我 们 致力 于 通过 我 们 的 努力 ， 帮 助 减轻 全 
址 界 范 围 内 ， 尤 其 是 读者 所 面 对 的 软件 漏洞 风险 。 


参考 文献 


1. Snyder, J. (2012). “Growing Cyber Threats Demand Advanced Mitigation 
Methodologies.” Retrieved from http://www.raytheon.com/capabilities/rtnwem/ 
groups/iis/documents/content/rtn_iis_cyber_whitepaper_wes.pdf. 

2. Ellison, R. (2006). “Security and Project Management.” Retrieved from 
hetps://buildsecurityin.us-cert.gov/articles/best-practices/project-management/ 
security-and-project-management. 

3. Acohido, B. (2013, February 27). “Former Cybersecurity Czar Pursues Safer 
Software.” Retrieved from http://www.usatoday.com/story/tech/2013/02/27/ 
howard-schmidt-executive-director-safecode/1952359. 

4. Ponemon Institute and Security Innovation (2013, August 27). The State of 
Application Security—A Research Study by Ponemon Institute LLC and Security 
Innovation, p. 21). Retrieved from https://www.securityinnovation.com/uploads/ 
ponemon-state-of-application-security-maturity. pdf. 

5. Gilbert, L., Morgan, R., and Keen, A. (2009, May 5). “Tactical and Strategic 
Attack Detection and Prediction,” U.S. Patent 7530105. Retrieved from http:// 
www.freepatentsonline.com/7530105.html. 

6. Encyclopedia of Espionage, Intelligence, and Security (2013). Espionage 
Encyclopedia: Critical Infrastructure. Retrieved from _ http://www.faqs.org/ 
espionage/Cou-De/Critical-Infrastructure.html. 

7. Linktv.org (2013). Cyber Espionage. Retrieved from http://news.linkty.org/topics/ 
cyber-espionage. 

8. U.S.-China Economic and Security Review (2012). 2012 Report to Congress of the 
U.S.—China Economic and Security Review Commission—One Hundred Twelfth 
Congress—Second Session. Retrieved from http://origin.www.uscc.gov/sites/ 
default/files/annual_reports/2012-Report-to-Congress. pdf. 

9. Information Warfare Monitor (2009). Tracking GhostNet: Investigating a Cyber 
Espionage Network. Retrieved from http://www.scribd.com/doc/13731776/ 
Tracking-GhostNetInvestigating-a-~Cyber-Espionage-Network. 

10. McAfee Labs and McAfee Foundstone Professional Services (2010). Protecting 
Your Critical Assets—Lessons Learned from “Operation Aurora.” Retrieved from 
http://www.mcafee.com/us/resources/white-papers/wp-protecting-critical-assets. 
pdf. 

11. Nakashima, E. (2011, August 02). “Report on ‘Operation Shady 
RAT’ Identifies Widespread Cyber-Spying.” The Washington Post. 
Retrieved from http://articles.washingtonpost.com/201 1-08-02/ 
national/35269748_1_intrusions-mcafee-china-issues. 

12. Symantec (2011, August 4). “The Truth Behind the Shady Rat.” Symantec 

- Official Blog. Retrieved from _ http://www.symantec.com/connect/blogs/ 
truth-behind-shady-rat. 

13. Hsu, T. (2011, February 10). “China-Based Hackers Targeted Oil, Energy 


ER: SEA SDL sk FRB 





14. 


20. 


21; 


22: 


23. 


24. 


25. 


26. 


27. 


28. 


29. 





Companies in ‘Night Dragon’ Cyber Attacks, McAfee Says.” Los Angeles Times. 
Retrieved from _htetp://latimesblogs.latimes.com/technology/201 1/02/chinese- 
hackers-targeted-oil-companies-in-cyberattack-mcafee-says.html#sthash. 
d7PrG6ly.dpuf. 

McAfee Foundstone Professional Services and McAfee Labs (2011, February 10). 
Global Energy Cyberattacks: “Night Dragon.” Retrieved from http://www.mcafee. 
com/us/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf. 


. Graham, B. (2005, August 25). “Hackers Attack via Chinese Web Sites.” The 


Washington Post. Retrieved from http://www.washingtonpost.com/wp-dyn/ 
content/article/2005/08/24/AR2005082402318.html. 


. Thornburgh, N. (2005, August 25). “Inside the Chinese Hack Attack.” 


Time Magazine. Retrieved from _ http://content.time.com/time/nation/ 
article/0,8599,1098371,00.html. 


. Onley, D. and Wait, P. (2006, August 17). “Red Storm Rising.” GCN. Retrieved 


from http://gcen.com/Articles/2006/08/17/Red-storm-rising.aspx?Page=2&p=1. 


. Sandlin, S. (2007, October 14). “Analyst, Sandia Settle Suit.” Albuquerque Journal. 


Retrieved from http://www.abqjournal.com/news/metro/602547 metro 0-14-07. 
hum. 
. Interpol (2013). Cybercrime. Retrieved from http://www. interpol.int/Crime-areas/ 
Cybercrime/Cybercrime. 

Williams, P. (2013). Organized Crime and Cyber-Crime: Implications for Business. 
CERT Coordination Centér (CERT/CC). Retrieved from www.cert.org/archive/ 
pdf/cybercrime-business. pdf. 
Williams, P (2013). Organized Crime and Cybercrime: Synergies, Trends, and 
Responses. Retrieved from http://www.crime-research.org/library/Cybercrime.humn. 
Samani, R., and Paget, F (2011). Cybercrime Exposed—Cybercrime-as-a-Service, 
McAfee 一 An Intel Company White Paper. Retrieved from http://www.mcafee. 
com/us/resources/white-papers/wp-cybercrime-exposed.pdf. 
Gandhi, R., Sharma, A., Mahoney, W., Sousan, W., Zhu, Q., and Laplante, P. 
(2011, February). Dimensions of Cyber-Attacks: Cultural, Social, Economic, and 
Political. ResearchGate.net, Source: IEEE Xplore. Retrieved from http://www. 
researchgate.net/publication/224223630_Dimensions_of_Cyber-Attacks_ 
Cultural_Social_Economic_and_Political. 
Vaughan-Nichols, S. (2012, January 20). “How Anonymous Took Down the DoJ, 
RIAA, MPAA and Universal Music Websites.” ZDNet. Retrieved from http:// 
www.zdnet.com/blog/networking/how-anonymous-took-down-the-doj-riaa- 
mpaa-and-universal-music-websites/ 1932. 
Tucker, N. (2008, January18). “Tom Cruise’s Scary Movie; In Church Promo, the 
Scientologist Is Hard to Suppress.” The Washington Post. Retrieved from http:// 
www.highbeam.com/doc/1P2-15129123.hunl. 

The Economist (2008, February 2). “Fair Game; unison (Cyberwarfare 
Against a Cult) (Anonymous).” Retrieved from http://www.highbeam.com/ 
doc/1G1-174076065.html. 
BBC (2010, December 9). “Anonymous Hacktivists Say Wikileaks War to 
Continue.” Retrieved from hetp://www.bbc.co.uk/news/technology-1 1935539. 
Swallow, E. (2011, August 14). “Anonymous Hackers Attack BART 
Website.” Mashable. Retrieved from _ http://mashable.com/2011/08/15/ 
bart-anonymous-attack. 
Kingsbury, A. (2010, April 14). “Documents Reveal Al Qaeda Cyberattacks— 
The Attacks Were Relatively Minor but Show the Group’s Interest in Cyberwar.” 
U.S. News & World Report. Retrieved from http://www.usnews.com/news/ 


187 


30. 


31. 


32. 


33. 


34. 
35. 


36. 


37. 


38. 


39. 


40. 


ál. 


188 








articles/2010/04/14/documents-reveal-al-qaeda-cyberattacks. 

Tiller, J. (2010, June 10). “Cyberwarfare: It’s a New Theater of War, Not Just 
a New Form of War.” Real Security. Retrieved from http://www.realsecurity.us/ 
weblog/?e=104. 

Clarke, R. A. (2010). Cyber War. HarperCollins, New York. 

The Economist, (2010, July 1). “Cyberwar: War in the Fifth Domain.” The 
Economist. ` 

Lynn, W. J., II. (2010, Sept./Oct.) “Defending a New Domain: The Pentagon’s 
Cyberstrategy.” Foreign Affairs, pp. 97—108. 

U.S. Department of Defense Strategy for Operating in Cyberspace, July 2011, p. 3. 
Herzog, S. (2011, Summer). “Revisiting the Estonian Cyber Attacks: Digital 
Threats and Multinational Responses.” Journal of Strategic Security, Vol. 4, 


No. 2, Strategic Security in the Cyber Age, Article 4. Retrieved from hrtp:// 
scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1 105&context=jss. 
RIANOVOSTI (2007, September 6). “Estonia Has No Evidence of 
Kremlin Involvement in Cyber Attacks.” Retrieved from http://en.rian.ru/ 
world/20070906/76959190.htuml. 

Rehman, S. (2013, January 14). “Estonia’sLessonsin Cyberwarfare.” U.S. News Weekly. 
Retrieved from http://www.usnews.com/opinion/blogs/world-report/2013/01/14/ 
estonia-shows-how-to-build-a-defense-against-cyberwarfare. 

Swaine, J. (2008, August 11). “Georgia: Russia ‘Conducting Cyber War.” The 
Telegraph. Retrieved from http://www.telegraph.co.uk/news/worldnews/europe/ 
georgia/2539157/Georgia-Russia-conducting-cyber-war.huml. 

Falliere, N., Murchu, L., and Chien, E. (2011, February). W32.Stuxnet Dossier, 
Version 1.4—Symantec Security Response. Retrieved from http://www.symantec. 
com/content/en/us/enterprise/media/security_response/whitepapers/w32_ 
stuxnet_dossier.pdf. 

Schneier, B. (2010, October 7). “Stuxnet.” Schneier on Security—A Blog Covering 
Security and Security Technology. Retrieved from https://www.schneier.com/blog/ 
archives/2010/10/stuxnet.html. 

Dunn, J. (2012, March 9). “Ransom Trojans Spreading Beyond Russian 
Heartland: Security Companies Starting to See More Infections.” 
Techworld. Retrieved from _ hetp://news.techworld.com/security/3343528/ 


ransom-trojans-spreading-beyond-russian-heartland. 


# 10% 


| 附 录 


Core Software Security: Security at the Source 


关键 的 成 功 因素 、 可 交付 成 果 、SDL 模型 每 个 阶 
段 的 指标 





第 3 章 到 第 7 章 已 经 概述 了 关键 的 成 功 因素 、 可 交付 成 果 和 应 该 作为 安全 开发 生命 周期 
(SDL) 模型 一 部 分 的 指标 。 第 8 章 概括 了 关键 的 可 交付 成 果 和 指标 。 关 键 的 成 功 因 素 、 可 
交付 成 果 和 指标 并 不 是 一 成 不 变 的 ， 它 们 需要 进行 调整 ， 以 便 把 SDL 映射 到 软件 开发 生命 
周期 (SDLC) 中 。 本 附录 总 结 从 第 3 章 到 第 8 章 概括 的 关键 成 功 因素 、 可 交付 成 果 和 指标 。 


表 A-1 SDL 每 个 阶段 的 关键 成 功 因素 
所 有 SDL 活动 被 准确 地 识别 
elt p | 27 品 风 险 轮廓 管理 部 门 了 解 开发 产品 的 真实 成 本 
Wade 环境 中 产品 成 功 的 缓解 措施 和 对 策 很 到 位 
所 有 适用 的 法 律 和 法 规 遵从 方面 都 被 锋 盖 





5. 软件 所 需 安全 目标 的 覆盖 
1. 确定 业务 需求 和 风险 
2. 有 效 的 威胁 建 模 


架构 (A2): SDL 活动 
与 最 佳 实践 


3. 有 效 的 架构 威胁 分 析 
4. 有 效 的 风险 缓解 策略 


5. DFD 的 准确 度 

1. 全 面 的 安全 测试 计划 
2. 有 效 的 威胁 建 模 

3. 设计 安全 分 析 

4. 隐私 实施 评估 

5. 策略 一 致 性 审查 (更 新 ) 
1. 安全 测试 用 例 执 行 
2. 安全 测试 

3. 隐私 验证 和 修复 

4. 策略 合 规 性 检查 

1. 策略 一 致 性 分 析 

2. 安全 漏洞 扫描 

3. 渗透 测试 

4. 开源 许可 审查 

5. 最 终 安全 审查 


设计 和 开发 (A3 ): SDL 
活动 与 最 佳 实践 


设计 和 开发 (A4 ): SDL 
活动 与 最 佳 实践 


发 布 (AS): SDL 活动 
与 最 佳 实践 


6. 最 终 隐 私 审查 
7. 客户 协议 框架 


“必须 有 ”的 安全 目标 需要 满足 

按 CIA 定义 的 业务 需求 和 风险 的 映射 
识别 软件 威胁 

分 析 软 件 威胁 和 威胁 出 现 的 概率 

每 一 个 业务 需求 的 风险 接受 、 容 忍 和 缓解 


计划 


威胁 建 模 中 使 用 的 数据 流 图 

映射 SDLC 不 同 阶段 需要 的 安全 测试 类 型 
识别 软件 威胁 

不 同 软件 组 件 的 威胁 分 析 

根据 评估 实施 隐私 相关 控制 所 需要 的 工作 量 
涉及 阶段 3 的 策略 遵从 更 新 

覆盖 所 有 相关 的 测试 用 例 

完成 所 有 类 型 的 安全 测试 ， 修 复 找到 的 问题 
隐私 相关 控制 的 有 效 性 ， 修 复 找到 的 问题 
按照 阶段 4 更 新 策略 

开发 阶段 中 的 最 终 安全 审查 和 一 致 性 需求 
扫描 软件 栈 确认 安全 问题 

利用 所 有 软件 栈 上 的 安全 问题 

最 终审 查 在 栈 中 使 用 的 开源 软件 

最 终审 查 SDL 周期 中 确认 的 安全 需求 的 


| 
ya 
度 


最 终审 查 SDL 周期 中 所 有 隐私 需求 的 一 致 性 
确认 与 客户 共享 的 安全 信息 的 框架 
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表 A-2 SDL 每 个 阶段 的 可 交付 成 果 


阶段 可 交付 成 果 
产品 风险 轮廓 
SDL 项 目 概 述 
适用 的 法 律 和 法 规 
威胁 轮廓 
认证 要 求 

第 三 方 软件 列表 
度量 标准 模板 
业务 需求 
威胁 建 模 工件 

架构 威胁 分 析 

风险 缓解 计划 

政策 符合 性 分 析 

更 新 的 威胁 建 模 标准 
设计 安全 审查 

安全 测试 计划 

更 新 的 策略 遵从 分 析 
隐私 实施 评估 结果 
安全 测试 执行 报告 
更 新 策略 的 合 规 性 分 析 
隐私 遵守 报告 

安全 测试 报告 

修复 报告 

更 新 策略 一 致 性 分 析 
安全 测试 报告 


安全 评估 CAL): SDL 
活动 与 最 佳 实践 


架构 (A2): SDL 活动 
与 最 佳 实践 


设计 和 开发 (A3 ): SDL 
活动 与 最 佳 实践 


设计 和 开发 (A4 ): SDL 
活动 与 最 佳 实践 


修复 报告 
开源 许可 审查 报告 

最 终 安 全 和 隐私 审查 报告 
客户 协议 框架 


BAG (AS): SDL 活动 
与 最 佳 实践 


外 部 漏洞 信息 披露 响应 过 程 
发 布 后 认证 
发 布 后 的 支持 (PRSA1-5 )| ”第 三 方 安全 审查 


遗留 代码 、M&A 和 EOL 计划 的 安全 策 
略 与 过 程 


0 
at 


目标 

预 估 产 品 的 真实 成 本 

将 SDL 映射 到 开发 进度 

在 适用 法 律 下 获得 利益 相关 者 的 正式 批准 

引导 SDL 活动 以 减轻 威胁 

列 出 产品 和 业务 认证 的 要 求 

识别 第 三 方 软件 的 依赖 

建立 定期 向 主管 汇报 的 节奏 
软件 需求 ， 包 括 CIA 

数据 流 图 、 元 素 、 威 胁 列表 

基于 威胁 分 析 的 威胁 和 风险 的 优先 级 

计划 去 缓解 、 接 受 或 者 容忍 风险 

遵守 公司 政策 的 分 析 

数据 流 图 、 要 素 、 威 胁 列表 

基于 安全 评估 的 软件 组 件 设计 修改 

计划 减轻 、 接 受 或 容忍 风险 

坚持 遵守 公司 政策 

隐私 评估 的 建议 

检查 安全 测试 用 例 执行 的 进程 

分 析 公 司 策略 的 遵守 程度 

验证 执行 的 隐私 评估 是 否 符合 建议 

不 同类 型 的 安全 测试 发 现 的 结果 

产品 的 安全 状态 

分 析 公司 策略 

SDL 的 这 个 阶段 找到 的 不 同类 型 的 安全 检 
查 结果 

提供 安全 修复 报告 

对 开源 软件 许可 需求 一 致 性 的 检查 

检查 安全 和 隐私 需求 的 一 致 性 

在 产品 生命 周期 的 不 同 阶段 对 应 参与 用 户 
详细 的 框架 

定义 安全 漏洞 评估 和 沟通 的 过 程 

来 自 外 部 各 方 的 认证 ， 展 示 产 品 /服务 的 
安全 状态 

除 内 部 测试 团队 以 外 的 团队 进行 的 安全 
评估 

减轻 遗留 代码 和 M&As 带 来 的 安全 风险 
的 策略 
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表 A-3 SDL 每 个 过 程 的 指标 


n G m 
软件 安全 团队 循环 的 时 间 (单位 ， 周 ) 
参加 SDL 的 利益 相关 者 的 百分比 

4 i ): SDL 活动 与 x 

安全 评估 (AL): SDL 活动 与 最 佳 实践 SDL 活动 映射 到 开发 活动 的 百分比 
安全 目标 满足 的 百分比 


业务 威胁 、 技 术 威 胁 (映射 到 业务 威胁 ) 和 威胁 参与 者 的 列表 
这 个 阶段 之 后 不 满足 的 安全 目标 个 数 
遵守 公司 ( 现 有 ) 政策 的 百分比 
软件 入 口 点 的 数量 (使 用 的 DFD) 
风险 (和 威胁 ) 接受 、 减 轻 和 容忍 的 百分比 
重新 定义 的 初始 软件 需求 百分比 
产品 中 计划 的 软件 体系 结构 (主要 和 次 要 ) 的 变化 数量 
根据 安全 要 求 所 需 的 软件 体系 结构 更 改 数量 
威胁 、 可 能 性 和 严重 性 
符合 公司 政策 的 百分比 (更 新 ) 
符合 第 2 阶段 和 第 3 阶段 的 百分比 
软件 的 切入 点 (使 用 DFD) 
接受 的 风险 相对 于 缓解 的 风险 的 百分比 
最 初 的 软件 重新 定义 要 求 的 百分比 
设计 和 开发 (A3 ): SDL 活动 与 最 佳 实践 软件 架构 变化 的 百分比 
没有 响应 的 软件 安全 测试 的 SDLC 阶段 的 百分比 
与 隐私 控制 有 关 实 现 的 软件 组 件 的 百分比 
代码 行 数 
使 用 静态 分 析 工具 发 现 的 安全 缺陷 数量 
使 用 静态 分 析 工 具 发 现 的 高 风险 缺陷 数 
缺陷 密度 (每 1000 行 代码 中 的 安全 问题 ) 
遵守 公司 策略 的 比例 (更 新 ) 
“遵守 阶段 3 和 阶段 4 的 比例 对 比 
通过 静态 测试 工具 实际 测试 的 代码 行 数 
通过 静态 分 析 工 具 找 到 的 安全 缺陷 数量 
通过 静态 分 析 工 具 找 到 的 高 风险 安全 缺陷 的 数量 
缺陷 密度 (每 一 千 行 代码 的 安全 问题 数量 ) 
通过 静态 分 析 、 动 态 分 析 、 人 工 代 码 审 查 、 渗 透 测 试 、 模 糊 测试 
找到 的 安全 问题 的 类 型 和 数量 
。 使 用 不 同类 型 的 交叉 测试 找 出 的 安全 问题 
“对 比 不 同 测试 类 型 找到 的 安全 问题 的 严重 程度 
“把 找到 的 安全 问题 与 之 前 确定 的 威胁 /风险 进行 映射 
对 发 现 的 安全 问题 进行 修复 的 数量 
。 发 现 问题 的 严重 程度 
。 花 费 在 修复 发 现 问题 上 的 小 时 数 (KA) 
发 现 问题 中 未 解决 问题 的 数量 、 类 型 和 严重 程度 
遵守 测试 安全 计划 的 比例 


架构 (A2): SDL 活动 与 最 佳 实践 


设计 和 开发 (A4 ): SDL 活动 与 最 佳 实践 
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阶 B 


设计 和 开发 (A4 ): SDL 活动 与 最 佳 实践 


发 布 (A5): SDL 活动 与 最 佳 实践 


发 布 后 支持 (PRSA1-5 ) 


( 续 ) 
指 Pn 
安全 测试 用 例 执行 的 数量 
“ 执行 安全 测试 用 例 发 现 的 问题 数量 
“执行 回归 测试 的 数量 


”遵守 公司 策略 的 百分比 (更 新 的 ) 

“阶段 4 与 5 中 遵守 的 百分比 

安全 漏 润 扫描 和 渗透 测试 发 现 的 安全 问题 的 数量 、 类 型 和 严重 性 

“不 同类 型 测试 中 找到 的 交合 的 安全 问题 

“不 同类 型 测试 发 现 的 安全 问题 严重 性 的 对 比 

* 发 现 的 安全 问题 与 之 前 确认 的 威胁 / 风险 的 映射 

发 现 的 安全 问题 的 修复 数量 (更 新 的 ) 

* 发现 的 问题 的 严重 性 

* 修复 发现 的 问题 花费 的 小 时 数 

发 现 的 严重 问题 的 数量 、 类 型 、 严 重 性 (更 新 的 ) 

遵守 安全 和 隐私 需求 的 百分比 

应 对 外 部 披露 的 安全 漏洞 的 时 间 (以 小 时 为 单位 ) 

每 月 全 职员 工 (Full-Time Employee, FTE) 处 理 对 外 披露 过 程 需要 
的 小 时 数 

产品 发 布 后 发 现 的 安全 问题 的 数目 〈 按 严重 程度 排列 ) 

每 月 客户 报告 的 安全 问题 数目 

任意 SDL 活动 中 ， 客 户 报告 的 安全 问题 没有 确定 的 数目 
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软件 安全 从 源头 开始 


Core Software Security Security at the Source 


REA GAAS HIRATA T ULSI Ro LM PERAG ES, AEASSARM 
述 了 关于 软件 安全 性 应 该 做 出 的 决策 ， 并 向 经 理 和 开发 人 员 提 供 过 程 方面 的 指导 ， 使 读者 可 以 应 用 牢固 的 解决 
方案 来 抵制 网 络 威胁 

— Dena Haritos Tsamitish} |， 椒 内 JERE ee a W Ee EIE filCyLab# fF TE 

本 书 是 软件 安全 专家 的 权威 指南 。 两 位 作者 巧妙 地 E 勒 出 把 安全 性 整合 型 
略 ， 以 及 为 什么 安全 需要 以 软件 和 相关 开发 人 员 为 中 心 :……: 在 网 络 战争 最 前 
关 同 事 ) 必须 具备 安全 意识 


1 安全 软件 开发 过 程 中 的 程序 和 策 
Kay A (FFs) SARE IPRA 员 和 相 


Colonel Cedric Leighton, IHIH, Cedric Leighton Associates fill kA A&A dk 
在 云 计算 和 移动 应 用 程序 兴起 之 后 ， 软 件 安全 问题 从 来 没有 比 现在 更 重要 。 本 书 是 安全 专家 、 软 件 开 发 人 
员 和 软件 工程 师 的 必 读 书目 。 作 者 出 色 地 提供 了 通用 的 方法 ， 以 实现 强大 的 软件 安全 态势 
Larry Ponemonf}1:, Ponemon i iE ENE & Bll MA 
软件 安全 的 根源 在 于 软件 开发 人 员 开 发 的 源 代码 。 因 此 ， 安 全 应 该 以 开发 人 员 为 中 心 ， 注 重 源 代码 的 安全 
开发 。 本 书 揭示 了 将 安全 构建 到 整个 软件 开发 生命 周期 中 的 方法 和 过 程 ， 使 得 软件 在 源头 就 是 安全 的 ! 
Eric S. Yuan，Zoom 视 频 授 舍 有 限 公司 创始 人 &CEO 
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